Возможный дубликат:
Зачем мне серверы брандмауэра?
У меня есть небольшой сервер с WEB + FTP. Проверил порты и открываются только 80 + 21.
Итак, теперь вопрос, действительно ли мне нужны iptables? Эти два порта должны быть открыты для всех, а остальные уже закрыты. Я не думаю, что человек может открыть порты без корневого элемента управления (извне сервера). Итак, полезен ли мне iptables?
Если я понимаю ваш вопрос, у вас его нет iptables rules и спрашивает, действительно ли он вам нужен, если единственные открытые порты, которые у вас есть, - это порты от активных работающих служб, это правильно?
Короткий ответ: да, у тебя должен быть рабочий iptables набор правил на вашем сервере, даже если единственные открытые порты - это службы, которые вы хотите запускать там. Также не забывайте соблюдать правила и добавлять / удалять службы, которые добавляются или удаляются с сервера.
Длинный примерный ответ: Теоретически вам это не понадобится, но безопасность заключается в том, чтобы усложнить жизнь злоумышленнику. Предположим, что на вашем веб-сервере есть сценарий с ошибкой в нем, и кто-то использует эту ошибку и внедряет удаленный сервер оболочки (даже простой netcat Сделаю). Если сервер не имеет брандмауэра на передней панели или локально блокирует соединения, злоумышленник сможет подключиться к этой уязвимой оболочке. Если добавить правильный и рабочий iptables правил, злоумышленник не сможет подключиться (потому что iptables заблокировал любой трафик не на разрешенных вами портах).
Даже если у вас есть брандмауэр перед вашими серверами, простой скрипт iptables - хорошая практика, как я уже сказал, ваша задача - добавить уровни безопасности (Глубокая защита), поэтому, если один уровень выйдет из строя, другие все равно будут задерживать атаку.
Нет ты не необходимость иметь iptables правила.
Однако вы будете хотеть иметь их по нескольким причинам:
См. Мою вики Сообщества, «Советы и хитрости IPTables». Там вы можете найти вдохновение.
Да. На очень по крайней мере, он откроет порт 20 соответствующим образом, чтобы активный FTP работал. Кроме того, это предотвратит подключения к вредоносным программам, запускающим сервер на вашем компьютере.
Iptables всегда должен работать на всех общедоступных серверах, даже если между вами и Интернетом установлен брандмауэр поставщика. Ключевым моментом, который следует помнить в отношении всей компьютерной безопасности, является то, что любая система может быть взломана, если она не выключена. Имея это в виду, вы пытаетесь поставить барьеры на пути любого злоумышленника.
Как упоминал coredump в своем ответе, Iptables может помочь предотвратить запуск программы эксплойта пользовательского пространства на порте с высоким уровнем приема соединений. Также можно запретить вашему хосту разговаривать с определенными сегментами сети, если вам это нужно, с помощью цепочки OUTPUT. Кроме того, вы можете предотвратить запуск многих TCP-атак в вашей системе, используя модуль состояния и разрешая по умолчанию только связанные пакеты, а затем разрешая только «новые» пакеты для вашего веб-сервера и ftp-сервера.