iptables นโยบาย vs กฎเริ่มต้น

12

มีความแตกต่างในการปล่อยแพ็กเก็ตที่ไม่จับคู่กับนโยบายเริ่มต้น-j DROPหรือไม่

ชอบ:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

VS

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

เหตุผลที่ฉันสนใจเพราะฉันไม่สามารถสร้างห่วงโซ่ที่มีบันทึกและถือว่าเป็นนโยบายเริ่มต้นดังนั้นฉันจะต้องใช้ตัวอย่างที่สอง

linux  iptables 
บางคน
แหล่งที่มา
คุณพยายามเข้าสู่ระบบอะไร
tftd
โดยทั่วไปแล้วอะไร ๆ เมื่อฉัน debuging iptables ซ่อน & หาเมื่อฉันไม่รู้ว่ามันอยู่ที่ไหนหรือทำไมมันถึงถูกทิ้ง
ใครบางคน

คำตอบ:

5

จากมุมมองทางเทคนิคไม่ได้แพ็กเก็ตจะถูกทิ้งทั้งสองทาง

แต่ Sirex ค่อนข้างถูกต้องซึ่งอาจเจ็บปวดเล็กน้อยหากคุณลืมสิ่งที่สำคัญเมื่อเปลี่ยนกฎเริ่มต้นของตาราง

หลังจากใช้เวลากับ IPTables คุณจะพบความพึงพอใจและสร้างระบบของคุณในสภาพแวดล้อมของคุณ

เจลลัน
แหล่งที่มา
5

ใช่. หากคุณใช้นโยบาย DROP จากนั้นเชื่อมต่อผ่าน SSH และล้างตาราง ( iptables -F) คุณจะล็อคตัวเองเนื่องจากนโยบายเริ่มต้นจะไม่ถูกล้างออก

ฉันทำสิ่งนี้บนระบบรีโมตแล้ว มันเจ็บ.

(บทเรียนอื่น ๆ ได้เรียนรู้ถ้าคุณต้องการกำจัดไฟร์วอลล์ชั่วครู่ให้ใช้service iptables stopไม่ใช่iptables-F + service iptables reload)

นโยบายเริ่มต้นน่าจะปลอดภัยกว่าจากการจัดการได้ง่ายกว่า คุณไม่สามารถลืมที่จะเพิ่มไปยังจุดสิ้นสุด

Sirex
แหล่งที่มา
3

อาจเป็นอีกสิ่งหนึ่งในหัวข้อนี้สำหรับผู้ที่ต้องการข้อมูลนี้เช่นฉันเมื่อไม่กี่ชั่วโมงที่ผ่านมา

วิธีหลัง:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

ไม่อนุญาตให้คุณผนวกกฎในภายหลัง (เนื่องจากกฎต่อท้ายจะปรากฏขึ้นหลังจากกฎการวางสากลและดังนั้นจึงไม่มีผลกระทบ) คุณจะต้องแทรกกฎด้วยคำชี้แจงที่ชัดเจนของตำแหน่งที่ต้องการ:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

แทน

iptables -A INPUT --dport 80 -j ACCEPT

ขึ้นอยู่กับความต้องการของคุณมันอาจช่วยรักษาความปลอดภัยเล็กน้อยโดยกำหนดให้คุณหรืออะไรก็ตามที่เพิ่มกฎเพื่อให้ผ่านกฎที่มีอยู่จริง ๆ ไม่เพียงแค่ผนวกมันตามปกติ

ความรู้นี้ฉันได้รับเมื่อวานนี้ในขณะที่ตรวจสอบยี่สิบนาทีทำไมบริการที่ติดตั้งใหม่ของฉันจะไม่ตอบสนองแม้ว่าทุกอย่างจะทำงาน

พาเวล
แหล่งที่มา
1

นโยบายเริ่มต้นนั้นค่อนข้าง จำกัด แต่ให้แบ็คสต็อปที่ดีเพื่อให้แน่ใจว่าแพ็กเก็ตที่ไม่ได้รับการจัดการจะได้รับการจัดการอย่างเหมาะสม

หากคุณต้องการ (ต้องการ) เพื่อบันทึกแพ็กเก็ตเหล่านั้นคุณต้องมีกฎขั้นสุดท้าย นี่อาจเป็นเชนที่บันทึกและใช้นโยบาย นอกจากนี้คุณยังสามารถบันทึกและให้นโยบายจัดการได้

พิจารณาแนวทางเหล่านี้ต่อนโยบายและกฎนโยบายขั้นสุดท้าย

  • ใช้และยอมรับนโยบายและแทนที่ด้วยนโยบายที่ต้องการเป็นกฎสุดท้าย สิ่งนี้สามารถปกป้องคุณได้เมื่อคุณจัดการโฮสต์ที่สถานที่ห่างไกล หากคุณทิ้งกฎของคุณคุณจะเหลือเพียงแนวป้องกันรองเช่น hosts.allow หากคุณวางกฎสุดท้ายของคุณคุณจะสิ้นสุดในการกำหนดค่าเปิดหรือเปิดอย่างเต็มที่
  • กำหนดนโยบายที่ต้องการและหนุนหลังด้วยกฎนโยบายสุดท้าย สิ่งนี้มีความปลอดภัยมากขึ้นเมื่อคุณมีอยู่จริงหรือเข้าถึงคอนโซลไปยังโฮสต์ หากคุณวางกฎของคุณคุณจะไม่สามารถเข้าถึงบริการทั้งหมดยกเว้นว่านโยบายนั้นยอมรับ หากคุณวางกฎสุดท้ายคุณจะยังคงได้รับความคุ้มครอง
BillThor
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.