Автор Тема: Правильная настройка iptables  (Прочитано 409 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 58
Правильная настройка iptables
« : 07 Октябрь 2019, 21:50:20 »
Здравствуйте, есть желание на VPS настроить iptables. По команде netstat, выдаёт список используемых портов. Например:

unix  3      [ ]         STREAM     CONNECTED     16457
unix  3      [ ]         STREAM     CONNECTED     16458    /run/systemd/journal/                                                                                                             stdout
unix  3      [ ]         STREAM     CONNECTED     57211
unix  3      [ ]         STREAM     CONNECTED     57210
unix  3      [ ]         STREAM     CONNECTED     8968     /run/systemd/journal/                                                                                                             stdout
unix  3      [ ]         STREAM     CONNECTED     10571    /var/run/dbus/system_                                                                                                             bus_socket
unix  3      [ ]         STREAM     CONNECTED     10182    /run/systemd/journal/                                                                                                             stdout
unix  2      [ ]         DGRAM                    10558
unix  2      [ ]         DGRAM                    8974
unix  3      [ ]         STREAM     CONNECTED     10570

В настройках iptables, эти порты открывать или нет?
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 2962
  • Linux Registered User #547151
Re: Правильная настройка iptables
« Ответ #1 : 08 Октябрь 2019, 03:05:56 »
это unix сокеты, почитай про них.
Открывать всё подряд в iptables - дыра в безопасности и моветон.

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 58
Re: Правильная настройка iptables
« Ответ #2 : 08 Октябрь 2019, 11:10:01 »
это unix сокеты, почитай про них.
Открывать всё подряд в iptables - дыра в безопасности и моветон.
Если на VPS стоит Апач к примеру, то порты же для него в любом случае открывать нужно. А если на других портах ничего нет, то в чём дыра тогда?
 


Онлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1845
  • Новосибирск
  • Jabber: endru@jabber.ru
Re: Правильная настройка iptables
« Ответ #3 : 08 Октябрь 2019, 12:08:49 »
Открывать всё подряд в iptables - дыра в безопасности и моветон.
Не совсем так.
Доступ ограничивать нужно только когда:
1) есть сервисы которые должны работать только в локальной/изолированной(vpn) сети
2) ПО используемое на сервере не вызывает доверие, или позволяет создавать дополнительные соединения для подключения извне, или не умеет работать только на выбранных интерфейсах.
3) вы параноик, и не понимаете зачем это нужно, но это нужно

В любом случае, настройка iptables - это не 100% защита сервера. Ключевую роль здесь выполняет ПО которое на нем крутится, недавние примеры взломов exim с получением root доступа к системе тому доказательство.
Набор правил iptables нужно настраивать по уму для каждого конкретного случая.

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 58
Re: Правильная настройка iptables
« Ответ #4 : 08 Октябрь 2019, 14:31:29 »
endru, возможно, могли бы пожалуйста порекомендовать какие-то статьи по этой теме? Потому как насколько гуглил, мнение у всех разное. Кто-то говорит закрывать все порты и по мере надобности открывать нужные. Кто-то говорит что если порты не используются, нет на них сервисов, то и закрывать нет смысла.
 

Оффлайн alexxnight

  • Активный пользователь
  • **
  • Сообщений: 83
Re: Правильная настройка iptables
« Ответ #5 : 10 Октябрь 2019, 08:10:14 »
Вот очень хорошая книга:
https://www.opennet.ru/docs/RUS/iptables/

Существует 2 подхода при настройке netfilter:
1. Запретить все и открыть только то, к чему должен быть доступ.
2. Открыть все и запретить только то, к чему не должно быть доступа.

Если у Вас apache и ssh, то по первому варианту открыть только порты 443, 80(?), 22. Остальное все правилом по умолчанию DROP запретить.
Также, существуют уже стандартные решения, в книге они указаны...

Но настраивать netfilter на удаленке, для новичка - это очень рискованная операция. Будьте аккуратны.
 
Пользователи, которые поблагодарили этот пост: Tinko

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 58
Re: Правильная настройка iptables
« Ответ #6 : 10 Октябрь 2019, 09:32:06 »
Вот очень хорошая книга:
https://www.opennet.ru/docs/RUS/iptables/

Существует 2 подхода при настройке netfilter:
1. Запретить все и открыть только то, к чему должен быть доступ.
2. Открыть все и запретить только то, к чему не должно быть доступа.

Если у Вас apache и ssh, то по первому варианту открыть только порты 443, 80(?), 22. Остальное все правилом по умолчанию DROP запретить.
Также, существуют уже стандартные решения, в книге они указаны...

Но настраивать netfilter на удаленке, для новичка - это очень рискованная операция. Будьте аккуратны.
Спасибо
 

Теги:
 

Правильная установка библиотеки python-libtorrent

Автор echoes11

Ответов: 4
Просмотров: 1905
Последний ответ 21 Январь 2014, 10:19:45
от Yrii