LINUX.ORG.RU
ФорумSecurity

Какова основная логика построения закрытого фаервола?

 , ,


1

2

Объясните логику, к примеру, хотим иметь доступ к машине только через ssh: 

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

COMMIT

Будет ли этот набор правил iptables достаточным и оптимальным? Задаю вопрос, потому что не раз встречал наборы правил, где помимо «все запрещено, разрешено только нужное» режутся всякие инвалидные пакеты, и прочее прочее. Не могу понят зачем это нужно.


Защита от вскрытия корпуса?
Взламывали ли ваш роутер на OpenWrt / LEDE?



:OUTPUT ACCEPT


Закрытый говоришь.. А зачем всё открыл? Ставь тогда тоже DROP.
По теме:
В примерах в основном рассматривают прокси-шлюзы. А там ещё некоторая мелочевка добавляется.

Вместо модуля «state» лучше использовать «conntrack». И не смешивать их вместе в правилах. «state» давным давно устарел.

Atlant ★★★★★
()
Последнее исправление: Atlant (всего исправлений: 1)
Ответ на: комментарий от dr1m0

Я имел ввиду закрытый снаружи.

Во-во. Запретят icmp, а потом у них то один то другой сайт не открывается. Так как pmtu не работает.

vodz ★★★★★
()

Чтоб не дергаться лишний раз, развернув на этом хосте какой-нибудь внезапный апач, доступ к которому подразумевается только через впн или ссш-порт-форвардинг

af5 ★★★★★
()

Основная логика построения любого файрвола: если ты не понимаешь, зачем он тебе нужен, то наиболее вероятно, что он тебе не нужен.

pekmop1024 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Защита от вскрытия корпуса?
Security
Взламывали ли ваш роутер на OpenWrt / LEDE?