Вопросы о брандмауэре о состоянии и политике?
Ответ MH является прекрасным способом иметь дело с текущей проблемой, но кто-то должен регулярно смотреть на журналы (еженедельно?) и проверка на проблемы/проблемы/и т.д.
Посмотрите этот вопрос для автоматизированного способа сохранить/очистить журналы. Резервное копирование их является хорошей практикой, полезной для исследования прошлых проблем и поиска шаблонов, и т.д.
- Это - хорошая идея применить Ваши политики как можно раньше. Поместите их в запуск. Правила ОТБРАСЫВАНИЯ о внутреннем трафике могут вызвать проблемы.
- Это правило было бы consideref отказ, поскольку это реализует, и ПРИМИТЕ политику. Добавление принять правило на сервис является корректным способом создать Ваш брандмауэр.
- Принять политика указывает на выполнение главным образом открытой политики. (Мы заблокировали заблокированную парадную дверь, но можно использовать любую другую дверь для входа.) Лучшая политика является главным образом закрытой политикой. Мы сохраняем всю дверь и окна заблокированными, и только разблокировали тех, нам нужно.
- Казалось бы, что нет никакого различия, хотя все правила я видел состояние использования. conctrack модуль будет контролировать состояние. Использование это правило с портом принимает, что правило рассматриваемые 2 включает сервисы.
Можно хотеть посмотреть на документацию Shorewall для наблюдения то, что может быть сделано с iptables. Я использую его для создания брандмауэра на всех моих экземплярах Linux (включая OpenWRT). Это хорошо зарегистрировало демонстрационные конфигурации (по умолчанию/основные) для серверов с 1, 2 или 3 интерфейса.
Проект Документации Linux также имеет документацию.
-
1@Guapo, я верю Вам, должен указать, что правило в ПРИНИМАЕТ. Это должно быть ранним правилом, как оно предназначается для обхода обработки правила для соединений, какой habe, принятый, и, прослеживаются. СВЯЗАННАЯ часть позволяет соединения FTP и другие протоколы, которые используют несколько портов. Они обрабатываются протоколом определенные модули, такие как ns_conntract_ftp. – BillThor 16 October 2010 в 08:39
-
2да я понял это еще после некоторых тестов, но спасибо :) – Guapo 16 October 2010 в 15:31
Вы ничего не упоминали о туземной таблице, таким образом, я собираюсь предположить, что этот вопрос касается записи iptables сценарии брандмауэра для автономных серверов, а не для мультиразмещенных/шлюзов полей.
Вы корректны: Каждая цепочка имеет единственную политику, таким образом, не имеет значения, где или в какой порядок, что правила политики указаны.
Это правило устанавливает конвенцию, которую многие/больше всего используют сценарии брандмауэра: это с сохранением информации. Просто несовершеннолетний придирается к мелочам, все же. Я не включал бы НОВОЕ состояние, и я буду также включать правило для ВХОДНОЙ цепочки, т.е.:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTЯ поместил эти правила рядом или наверху всех моих сценариев брандмауэра, поскольку они позволяют мне концентрироваться на создании правил для фильтрации попыток подключения и не иметь для размышления о non-connection-establishing пакетах. По-моему, сценарий брандмауэра без этих правил, вероятно, будет более сложным, и таким образом более подверженным ошибкам, чем та, которая включает их.
Это правило политики позволяет весь исходящий трафик. Как политика, позволяя все, очевидно, менее безопасно, чем разрешение только явных видов трафика. Таким образом, если безопасность будет Вашим предельным приоритетом, то Вы захотите установить политику ОТБРАСЫВАНИЯ в отношении выходной цепочки вместо этого. Просто знайте, что необходимо будет затем включать много правил позволить исходящий трафик возможно большому количеству приземленных вещей, таких как: DNS, SMTP, IMAP, POP3, HTTP, HTTPS, и т.д.
Состояние по сравнению с Conntrack: Состояние было удалено в пользу conntrack, эффективного с ядром Linux 3.7