¿Cómo puedo deshabilitar el tráfico externo a mi puerto 80?

3

No quiero que otros en la misma red (¡ni en ninguna otra red!) puedan acceder a mi máquina en el puerto 80, donde tengo sitios web de desarrollo.

He intentado agregar esta regla a ipfw :

deny tcp from any to any dst-port 80 in

que funciona, pero también me impide acceder a mi raíz web cada vez que obtengo una nueva IP (por ejemplo, cambiando a una nueva red inalámbrica) hasta que actualice la interfaz de mi red.

¿Hay alguna regla que pueda agregar a ipfw o (ya que aparentemente está obsoleta) en pfctl que no permite el tráfico externo al puerto 80?

Editar: la respuesta de bmike es simplemente perfecta. Esto es lo que he hecho, para que otros lo vean:

sudo ipfw add 00100 allow ip from any to any via lo0
sudo ipfw add 90100 deny tcp from any to any dst-port 80 in
sudo ipfw add 90100 deny tcp from any to any dst-port 443 in
sudo ipfw add 90100 deny tcp from any to any dst-port 3306 in

Esto permite a todos los puertos localmente, pero no permite ninguna conexión entrante a 80 (Apache), 443 (https) y 3306 (MySQL, que ya tengo restringido a localhost, pero aún así lo agregué solo para asegurarlo).

    
pregunta Charlie Schliesser 03.07.2013 - 16:44

1 respuesta

2

Querrá estar seguro de tener una regla de permiso con un número más bajo que la regla de denegación.

Así que quizás:

00100 allow ip from any to any via lo0
90100 deny tcp from any to any dst-port 80 in

Esto pone el permiso muy bajo (asegúrate de que no tienes ninguna regla de rechazo en el rango del número de reglas 0-99) y coloca la regla de rechazo general en un número muy alto (probablemente no permitirás nada) puerto 80 más alto que 90101).

Si no está definiendo un archivo de reglas para cargar todos los comandos de una sola vez, eche un vistazo a esta respuesta para una versión ligeramente diferente de los puertos de restricción: ¿Cómo uso ipfw para permitir el acceso a la LAN pero denegar el acceso a Internet?

    
respondido por el bmike 03.07.2013 - 16:49

Lea otras preguntas en las etiquetas