iptables, varsayılan politika ve kurallar

Eşleşmeyen paketleri varsayılan ilke ile -j DROPsonda bırakmada herhangi bir fark var mı ?

Sevmek:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

vs

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Benim umurumun nedeni, günlük ile zincir oluşturamıyorum ve varsayılan ilke olarak değerlendiremiyorum, bu yüzden ikinci örneği kullanmam gerekir.

Teknik açıdan, Hayır. Paket her iki şekilde de düşüyor.

Ancak Sirex, tablo varsayılan kurallarını değiştirirken önemli bir şeyi unutursanız, biraz acı verici olabilmesi açısından oldukça doğrudur.

IPTable'larla biraz zaman geçirdikten sonra, büyük olasılıkla bir tercih bulacak ve sistemlerinizi ortamınızda bunun etrafında oluşturacaksınız.

Evet. DROP ilkesi kullanır ve ardından SSH üzerinden bağlanır ve tabloyu temizler ( iptables -F), varsayılan ilke temizlenmediği için kendinizi kilitlersiniz.

Bunu uzak bir sistemde yaptım. Acıttı.

(Diğer ders öğrenildi, bir süre güvenlik duvarından kurtulmak istiyorsanız, kullanın service iptables stop, iptables-F + değil service iptables reload)

Varsayılan bir politikanın yönetilmesi daha kolay olması muhtemelen daha güvenlidir. Sonuna eklemeyi unutamazsınız.

Belki bir kaç saat önce benim gibi bu bilgiye ihtiyaç duyanlar için bu konuyla ilgili başka bir şey daha var.

İkinci yol:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

daha sonra bir kural eklemenize izin vermez (çünkü eklenen kural evrensel bırakma kuralından sonra görüneceği ve bu nedenle hiçbir etkisi olmayacağından), kuralı istenen konumun açık ifadesiyle eklemeniz gerekir:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

onun yerine

iptables -A INPUT --dport 80 -j ACCEPT

İhtiyaçlarınıza bağlı olarak, sizden veya daha sonra mevcut kurallardan gerçekten geçmek için kuralı ekleyerek ve her zamanki gibi eklemenize gerek kalmadan güvenliğe biraz yardımcı olabilir.

Bu bilgiler, yirmi dakika boyunca yeni yüklenen servisimin her şey yolunda olmasına rağmen neden yanıt vermeyeceğini kontrol ederken kazandım.

Varsayılan politikalar oldukça sınırlıdır, ancak işlenmeyen paketlerin uygun şekilde ele alınmasını sağlamak için iyi bir geri döndürme yapın.

Bu paketleri günlüğe kaydetmeniz gerekiyorsa (istemeniz) bir son kurala ihtiyacınız vardır. Bu, günlüğü kaydeden ve politikayı uygulayan bir zincir olabilir. Ayrıca, yalnızca günlüğe kaydedebilir ve politikanın işlemesine izin verebilirsiniz.

Politikaya ve nihai politika kuralına bu yaklaşımları göz önünde bulundurun.

• politikayı kullanın ve kabul edin ve nihai kural olarak istenen politika ile geçersiz kılın. Bu, uzak bir konumda bir ana bilgisayarı yönettiğinizde sizi koruyabilir. Kurallarınızı düşürürseniz, yalnızca hosts.allow gibi ikincil savunma hattınız kalır. Son kuralınızı bırakırsanız, çoğunlukla açık veya tamamen açık bir yapılandırma elde edersiniz.
• İstenen politikayı belirleyin ve bir son politika kuralıyla onu durdurun. Bu, bir ana bilgisayara fiziksel veya konsol erişiminiz olduğunda daha güvenli olabilir. Kurallarınızı bırakırsanız, politika KABUL ETMEDİĞİ sürece tüm hizmetlere erişimi kaybedersiniz. Son kuralınızı bırakırsanız, yine de korunursunuz.