Soru iptables, varsayılan politika vs kurallar


Eşleşmeyen paketlerin varsayılan politikaya göre düşürülmesinde herhangi bir fark var mı? -j DROP sonunda?

Sevmek:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

vs

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Umrumda olmama sebebim, logu zincirle oluşturamam ve varsayılan politika olarak kabul edemem. Bu yüzden ikinci örneği kullanmam gerekecek.


10
2017-09-23 23:07


Menşei


ne yapmaya çalışıyorsun? - tftd
Genel olarak, bir şey. Iptables hatalarını ayıklarken, nerede olduğunu veya neden düştüğünü bilmediğimde saklamıyorum. - someone


Cevaplar:


Teknik açıdan, Hayır. Hayır. Paket iki şekilde düşüyor.

Ancak, tablo varsayılan kurallarını değiştirirken önemli bir şey unutursanız, Sirex oldukça doğru bir acı olabilir.

IPTables ile biraz zaman geçirdikten sonra, büyük olasılıkla bir tercih bulabilir ve sistemlerinizi çevrenizde geliştirebilirsiniz.


5
2017-09-24 00:02





Evet. Bir DROP ilkesi kullanır ve SSH üzerinden bağlanır ve tabloyu temizler (iptables -F), varsayılan politika temizlenmediği için kendinizi kilitlersiniz.

Bunu uzak bir sistemde yaptım. Acıttı.

(Bir süre güvenlik duvarından kurtulmak istiyorsanız, diğer ders öğrendim, service iptables stop, değil iptables -F + service iptables reload)

Varsayılan bir politika, yönetilmesi daha kolay olmaktan daha güvenlidir. Sonuna eklemeyi unutamazsın.


5
2017-09-23 23:45





Belki de bu konuya ihtiyaç duyanlar için sadece birkaç saat önce olduğu gibi bu konuya bir başka şey daha var.

İkinci yol:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Bir kuralı daha sonra eklemenize izin vermezsiniz (ekli kural, evrensel bırakma kuralından sonra görünecek ve dolayısıyla hiçbir etkisi olmayacaktır), kuralı istenen konumun açık ifadesiyle eklemeniz gerekir:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

yerine

iptables -A INPUT --dport 80 -j ACCEPT

İhtiyaçlarınıza bağlı olarak, güvence altına girmenize yardımcı olabilir, ya da daha sonra kuralı, mevcut kurallara uymak için ekler ve sadece her zamanki gibi eklemez.

Bu, yirmi dakika boyunca kontrol ettiğimde, yeni kurulan servisimin her şey yolunda ve çalışıyor olsa bile neden yanıt vermeyeceğini biliyordum.


2
2017-12-20 12:23





Varsayılan politikalar oldukça sınırlıdır, ancak elle işlenmemiş paketlerin düzgün bir şekilde ele alınmasını sağlamak için iyi bir geri döndürme sistemi sağlar.

Bu paketleri kaydetmek için ihtiyaç duyuyorsanız son bir kurala ihtiyacınız vardır. Bu, politikayı kaydeden ve uygulayan bir zincir olabilir. Ayrıca, yalnızca günlüğe yazıp politikanın ele almasına izin verebilirsiniz.

Politikaya bu yaklaşımları ve nihai politika kuralını düşünün.

  • Politikayı kullanın ve kabul edin ve son kural olarak istenen politika ile geçersiz kılın. Bu, uzak bir konumda bir ana bilgisayarı yönetirken sizi koruyabilir. Kurallarınızı düşürürseniz, yalnızca hosts.allow gibi ikincil savunma hattınızla kalırsınız. Son kuralınızı bırakırsanız, çoğunlukla açık veya tamamen açık bir yapılandırma ile sonuçlanırsınız.
  • İstenen politikayı ayarlayın ve nihai bir politika kuralı ile geri döndürün. Bir ana bilgisayara fiziksel veya konsol erişimine sahip olduğunuzda bu daha güvenli olabilir. Kurallarınızı düşürürseniz, politika KABUL ETMEZ. Son kuralınızı bırakırsanız, hala korunuyorsunuz.

1
2017-09-24 02:59