Правильная настройка iptables

[Tinko]

Здравствуйте, есть желание на VPS настроить iptables. По команде netstat, выдаёт список используемых портов. Например:

Код Выделить Развернуть


unix  3      [ ]         STREAM     CONNECTED     16457
unix  3      [ ]         STREAM     CONNECTED     16458    /run/systemd/journal/                                                                                                             stdout
unix  3      [ ]         STREAM     CONNECTED     57211
unix  3      [ ]         STREAM     CONNECTED     57210
unix  3      [ ]         STREAM     CONNECTED     8968     /run/systemd/journal/                                                                                                             stdout
unix  3      [ ]         STREAM     CONNECTED     10571    /var/run/dbus/system_                                                                                                             bus_socket
unix  3      [ ]         STREAM     CONNECTED     10182    /run/systemd/journal/                                                                                                             stdout
unix  2      [ ]         DGRAM                    10558
unix  2      [ ]         DGRAM                    8974
unix  3      [ ]         STREAM     CONNECTED     10570


В настройках iptables, эти порты открывать или нет?

[ogost]

это unix сокеты, почитай про них.
Открывать всё подряд в iptables - дыра в безопасности и моветон.

[Tinko]

это unix сокеты, почитай про них.
Открывать всё подряд в iptables - дыра в безопасности и моветон.

Если на VPS стоит Апач к примеру, то порты же для него в любом случае открывать нужно. А если на других портах ничего нет, то в чём дыра тогда?

[endru]

Открывать всё подряд в iptables - дыра в безопасности и моветон.

Не совсем так.
Доступ ограничивать нужно только когда:
1) есть сервисы которые должны работать только в локальной/изолированной(vpn) сети
2) ПО используемое на сервере не вызывает доверие, или позволяет создавать дополнительные соединения для подключения извне, или не умеет работать только на выбранных интерфейсах.
3) вы параноик, и не понимаете зачем это нужно, но это нужно

В любом случае, настройка iptables - это не 100% защита сервера. Ключевую роль здесь выполняет ПО которое на нем крутится, недавние примеры взломов exim с получением root доступа к системе тому доказательство.
Набор правил iptables нужно настраивать по уму для каждого конкретного случая.

[Tinko]

endru, возможно, могли бы пожалуйста порекомендовать какие-то статьи по этой теме? Потому как насколько гуглил, мнение у всех разное. Кто-то говорит закрывать все порты и по мере надобности открывать нужные. Кто-то говорит что если порты не используются, нет на них сервисов, то и закрывать нет смысла.

[alexxnight]

Вот очень хорошая книга:
https://www.opennet.ru/docs/RUS/iptables/

Существует 2 подхода при настройке netfilter:
1. Запретить все и открыть только то, к чему должен быть доступ.
2. Открыть все и запретить только то, к чему не должно быть доступа.

Если у Вас apache и ssh, то по первому варианту открыть только порты 443, 80(?), 22. Остальное все правилом по умолчанию DROP запретить.
Также, существуют уже стандартные решения, в книге они указаны...

Но настраивать netfilter на удаленке, для новичка - это очень рискованная операция. Будьте аккуратны.

[Tinko]

Вот очень хорошая книга:
https://www.opennet.ru/docs/RUS/iptables/

Существует 2 подхода при настройке netfilter:
1. Запретить все и открыть только то, к чему должен быть доступ.
2. Открыть все и запретить только то, к чему не должно быть доступа.

Если у Вас apache и ssh, то по первому варианту открыть только порты 443, 80(?), 22. Остальное все правилом по умолчанию DROP запретить.
Также, существуют уже стандартные решения, в книге они указаны...

Но настраивать netfilter на удаленке, для новичка - это очень рискованная операция. Будьте аккуратны.

Спасибо