Мой брандмауэр Linux безопасен?
Postmaster@email требуется, чтобы существовать RFC, таким образом, это был бы естественный выбор. Однако никто, как не гарантируют, ответит, потому что, так как учетная запись требуется, чтобы существовать, она обычно не массово рассылается ни к какому концу. Попытка whois на домене могла бы также помочь,
Я довольно плохо знаком с Linux, направляющим также, единственной другой вещью, которую я видел рекомендуемый, является изменение целевая политика ВХОДА отбросить/отклонить также (iptables-P ВХОДНОЕ ОТБРАСЫВАНИЕ). По некоторым причинам это рекомендуется, даже когда Ваше последнее правило состоит в том, чтобы ОТБРОСИТЬ или ОТКЛОНИТЬ как Ваше.
У Вас есть следующая строка в Вашей конфигурации:
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
Однако существует два типа запроса ICMP, который можно рассмотреть, маленькая проблема безопасности (от вводят описание ссылки здесь):
Type Name Reference
...
13 Timestamp [RFC792]
...
17 Address Mask Request [RFC950]
Тип 13 является запросом в течение точного времени согласно компьютеру назначения. Точное время может использоваться для использования некоторых очень слабых алгоритмов шифрования в некоторых сетевых протоколах, позволяя взломщику получить доступ к секретной информации. Тип 17 является запросом на сетевую маску интерфейса, в котором был получен запрос. Допустимый ответ может помочь взломщику в приобретении знаний о топологии Вашей сети. Вместо вышеупомянутого правила я рекомендую следующие три правила:
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 13 -j REJECT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 17 -j REJECT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
Эти правила предотвратят два запрещенных типа ICMP и позволят всем другим.