Я развертываю несколько VPS, и, конечно же, безопасность - это большая проблема. Я читал, что белый список IPtables - лучший способ защитить вашу машину. Итак, я установил следующее:
echo "Flushing rules"
iptables -F
echo "Allow localhost interface"
iptables -A INPUT -i lo -j ACCEPT
echo "Allow local network traffic"
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
echo "Allow my dear friend 1"
iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT
echo "Allow my dear friend 2"
iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT
echo "Allow already established connections"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Set default policies"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Насколько безопасна эта установка? Каким образом потенциальный хакер может взломать мой брандмауэр (конечно, при условии, что хакер находится за пределами моей локальной сети)? Спасибо!
Когда вы устанавливаете политику по умолчанию на DROP и ACCEPT только то, что вам нужно, это явно более безопасно, чем разрешение всего по умолчанию и выборочно DROP нежелательные типы трафика.
Это, по крайней мере, избавляет вас от защиты сервисов, к которым не предполагается удаленный доступ (извне вашего компьютера или вашей локальной сети).
Ваша система более безопасна, когда вы предоставляете меньше услуг внешнему миру.
Ваша установка выглядит хорошо. Вы должны посмотреть iptables-persistent чтобы ваш брандмауэр запускался автоматически после перезагрузки VPS. Он работает очень хорошо (это просто служба, которая запускается во время загрузки и изменяет брандмауэр с сохраненным набором правил).