Вопросы Теги

iptables — я делаю это правильно?

Оказывается, что это был пассажир + sqlite + nginx + проблема полномочий Unix.
Я "решил" его путем миграции на MySQL

-1
задан 13 April 2017 в 15:14
3 ответа

Ваши политики (кроме вывода) должны быть установлены отбросить (следующий код не принимает правил на месте),

запустите с этого


iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

теперь добавьте любые другие сервисы, что Вам, возможно, понадобится слушание в интерфейсе


iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

не используйте отклонение, если Вы не ограничиваете его... помнят за каждый пакет, отправленный, это отклонило, каждого передадут обратно, это может создать большой трафик. Я говорю, просто не используют его

У меня есть вещь, которую я записал для настольного использования здесь

3
ответ дан 5 December 2019 в 19:02

Похоже, что Вы установлены отклонить что-либо пытающееся использовать TCP для общения с локальным хостом. Я избежал бы, что, потому что существует несколько законных вещей [необходима цитата], которые были бы предотвращены этим.

2
ответ дан 5 December 2019 в 19:02
  • 1
    да отбрасывая материал на lo == плохой you' ll отмечают в моем ответе, который я конкретно позволяю всему на lo. Я нашел, что он в конечном счете к трудно управлял localhost иначе. –  xenoterracide 15 November 2009 в 07:35

Единственная вещь решительно неправильно состоит в том, что Вы блокируете ICMP. Очень очень плохая идея. Это повреждает исследование PMTU. Просто пропустите ICMP.

Я предполагаю, что Вы только что включили это для тестирования, но:

ACCEPT     all  --  anywhere             anywhere

позволяет весь трафик. Так, этот ruleset ничего не делает.

Вы также повреждаетесь:

  • внутренние сервисы, говорящие на обратной петле (в правиле должны быть сказаны "пакеты, не входящие на lo"),
  • проверьте с помощью ping-запросов ответы (пропустите ICMP!)

Предложения:

  • Почему бы не добавить state NEW к Вашему dpt:http и dpt:https также?
1
ответ дан 5 December 2019 в 19:02
  • 1
    затем это должно было бы не только проверить на порт 80, но новое состояние также если it' s весьма допустимый, СВЯЗАННЫЙ, или УСТАНОВЛЕННЫЙ it' s новый. это добавило бы незначительную неэффективность. –  xenoterracide 15 November 2009 в 07:30
  • 2
    Это также закрыло бы теоретическую дыру, куда кто-либо может отправить произвольные пакеты в http/https порты. –  MikeyB 1 February 2010 в 21:15

Теги

Похожие вопросы