iptables, chính sách mặc định so với quy tắc

Có sự khác biệt nào trong việc loại bỏ các gói không khớp với chính sách mặc định so với -j DROPcuối không?

Giống:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

đấu với

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Lý do tại sao tôi quan tâm là vì tôi không thể tạo chuỗi bằng nhật ký và khẳng định đó là chính sách mặc định nên tôi sẽ cần sử dụng ví dụ thứ hai.

Từ quan điểm kỹ thuật, Không. Gói tin bị rơi theo một trong hai cách.

Nhưng Sirex hoàn toàn chính xác ở chỗ có thể hơi đau nếu bạn quên điều gì đó quan trọng khi chuyển đổi quy tắc mặc định của bảng.

Sau khi dành một chút thời gian với IPTables, bạn có thể sẽ tìm thấy một ưu tiên và xây dựng các hệ thống của mình xung quanh đó trong môi trường của bạn.

Đúng. Nếu bạn sử dụng chính sách DROP, sau đó kết nối qua SSH và xóa bảng ( iptables -F), bạn sẽ tự khóa vì chính sách mặc định không bị xóa .

Tôi đã làm điều này trên một hệ thống từ xa. Đau.

(Bài học khác, nếu bạn muốn thoát khỏi tường lửa trong một thời gian, hãy sử dụng service iptables stop, không phải iptables-F + service iptables reload)

Một chính sách mặc định có khả năng an toàn hơn do dễ quản lý hơn. Bạn không thể quên để thêm nó vào cuối.

Có lẽ một điều khác cho chủ đề này cho những người cần một chút thông tin như tôi vài giờ trước.

Cách thứ hai:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

không cho phép bạn nối thêm quy tắc sau (vì quy tắc được nối sẽ xuất hiện sau quy tắc thả phổ quát và do đó sẽ không có hiệu lực), bạn sẽ phải chèn quy tắc với tuyên bố rõ ràng về vị trí mong muốn:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

thay vì

iptables -A INPUT --dport 80 -j ACCEPT

Tùy thuộc vào nhu cầu của bạn, nó có thể giúp bảo mật một chút bằng cách yêu cầu bạn hoặc bất cứ điều gì sau đó thêm quy tắc để thực sự vượt qua các quy tắc hiện tại, không chỉ nối thêm nó như bình thường.

Hiểu biết này tôi đã kiếm được ngày hôm qua trong khi kiểm tra hai mươi phút tại sao dịch vụ mới được cài đặt của tôi sẽ không phản hồi mặc dù mọi thứ đều hoạt động.

Các chính sách mặc định khá hạn chế, nhưng tạo ra một điểm dừng tốt để đảm bảo các gói không được xử lý được xử lý theo cách phù hợp.

Nếu bạn cần (muốn) để ghi nhật ký các gói đó, bạn cần một quy tắc cuối cùng. Đây có thể là một chuỗi ghi nhật ký và áp dụng chính sách. Bạn cũng có thể chỉ cần đăng nhập và để chính sách xử lý nó.

Xem xét các phương pháp tiếp cận chính sách và quy tắc chính sách cuối cùng.

• sử dụng và chấp nhận chính sách và ghi đè với chính sách mong muốn làm quy tắc cuối cùng. Điều này có thể bảo vệ bạn khi bạn quản lý máy chủ tại một địa điểm từ xa. Nếu bạn bỏ quy tắc của mình, bạn chỉ còn lại tuyến phòng thủ thứ cấp của mình, chẳng hạn như hosts.allow. Nếu bạn bỏ quy tắc cuối cùng của mình, bạn sẽ có một cấu hình hầu như mở hoặc mở hoàn toàn.
• đặt chính sách mong muốn và sao lưu nó bằng quy tắc chính sách cuối cùng. Điều này có thể an toàn hơn khi bạn có quyền truy cập vật lý hoặc bàn điều khiển vào máy chủ. Nếu bạn bỏ quy tắc của mình, bạn sẽ mất quyền truy cập vào tất cả các dịch vụ trừ khi chính sách đó là CHẤP NHẬN. Nếu bạn bỏ quy tắc cuối cùng của mình, bạn vẫn được bảo vệ.