Назад | Перейти на главную страницу

iptables, политика по умолчанию и правила

Есть ли разница в отбрасывании несовпадающих пакетов с политикой по умолчанию против -j DROP в конце?

Подобно:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

против

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Причина, по которой меня это волнует, заключается в том, что я не могу создать цепочку с журналом и использовать его как политику по умолчанию, поэтому мне нужно будет использовать второй пример.

Да. Если вы используете политику DROP, а затем подключаетесь по SSH и очищаете таблицу (iptables -F), вы блокируете себя, поскольку политика по умолчанию не сбрасывается.

Я сделал это в удаленной системе. Больно.

(Другой усвоенный урок: если вы хотите на время избавиться от брандмауэра, используйте service iptables stopне iptables -F + service iptables reload)

Однако политика по умолчанию, вероятно, более безопасна из-за того, что ею проще управлять. Вы не можете забыть добавить его в конец.

С технической точки зрения нет. Пакет в любом случае будет отброшен.

Но Sirex совершенно прав в том, что может быть немного больно, если вы забудете что-то важное при переключении правил таблицы по умолчанию.

Проведя некоторое время с IPTables, вы, вероятно, найдете предпочтение и построите свои системы на основе этого в своей среде.

Может быть, еще кое-что в этой теме для тех, кому нужна эта информация, как и мне несколько часов назад.

Последний способ:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

не позволяет вам добавить правило позже (поскольку добавленное правило появится после универсального правила удаления и, следовательно, не будет иметь никакого эффекта), вам придется вставить правило с явным указанием желаемой позиции:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

вместо того

iptables -A INPUT --dport 80 -j ACCEPT

В зависимости от ваших потребностей это может немного помочь безопасности, требуя от вас или того, что позже добавит правило, чтобы действительно пройти через существующие правила, а не просто добавить его, как обычно.

Это знание я получил вчера, проверяя в течение двадцати минут, почему моя недавно установленная служба не отвечает, даже если все в порядке.

Политики по умолчанию довольно ограничены, но они служат хорошей защитой для обеспечения надлежащей обработки необработанных пакетов.

Если вам нужно (хотите) регистрировать эти пакеты, вам нужно последнее правило. Это может быть цепочка, которая регистрирует и применяет политику. Вы также можете просто войти в систему и позволить политике обработать это.

Рассмотрим эти подходы к политике и окончательное правило политики.

  • использовать и принять политику и заменить желаемую политику в качестве окончательного правила. Это может защитить вас, когда вы управляете хостом в удаленном месте. Если вы откажетесь от правил, у вас останется только вторая линия защиты, такая как hosts.allow. Если вы отбросите свое последнее правило, вы окажетесь в основном в открытой или полностью открытой конфигурации.
  • установите желаемую политику и поддержите ее окончательным правилом политики. Это может быть более безопасно, если у вас есть физический или консольный доступ к хосту. Если вы откажетесь от правил, вы потеряете доступ ко всем службам, если только политика не ПРИНЯТА. Если вы откажетесь от своего последнего правила, вы все равно будете защищены.