我已经知道如何使用iptables设置防火墙,但在IT安全部门访问后,他们说我需要过滤OUTPUT ,但是对我来说,这是没有意义的,我真的可以find一个场景,我需要做的是。 所以,这是我的第一个问题:
我真的需要过滤OUTPUT ?
我的OUTPUT默认接受所有,没有规则。 这是一个安全漏洞?
他们还说,我有规则,代表安全违规,我不同意这一点。 以这个FORWARD为例:
-P FORWARD DROP -A FORWARD -m state --state ESTABLISHED -j ACCEPT -A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT
他们表示接受ESTABLISHED而没有指定source和destination并且作为第一条规则是安全漏洞 。 真? 这是另一个安全漏洞吗? ACCEPT ESTABLISHED而不指定source和destination是不好的做法?
从安全的angular度来看,这个政策通常是“不允许的一切都被拒绝” ,在这方面,对OUTPUT链条的过滤属于这种一揽子政策。
OUTPUT链涉及传出的TCP / IP数据包和来自运行iptables的设备的连接,而不是通过防火墙的数据包。
pipe理员应该知道设备的正常使用和预期用途是什么,并且应该能够为OUTPUT链生成合适的过滤规则。
对于一个不能太多的防火墙
我预计可能会有DNS,NTP和系统日志stream量到特定的主机。
在服务器实践中,我经常不会在OUTPUT链上看到过滤,每个服务器只是有select地在INPUT上打开服务和filter,并且在networking(段)的边界上过滤出站stream量。 这个想法是主机级别的防火墙也可以从主机上修改,因此对于恶意pipe理员来说不是一个很大的障碍,一旦主机完全受到攻击,也不会提供太多的保护。
过滤出站stream量,即通过将stream量从“内部”stream量(转发)到“外部”(反之亦然)的networking边界上的防火墙通常称为出口过滤,并发生在FORWARD链中,而不是OUTPUT链。
出口过滤是好事,绝对是你应该做的。
取决于你想成为多么安全。 过滤出站stream量的确增加了安全性并减less了攻击媒介等
就个人而言,我只过滤出站SMTP(没有客户端应该连接到外部SMTP服务器)和DNS(为了防止恶意软件的影响,改变用户的DNS服务器赚取外部主机)。
不过,许多组织拥有更多限制性的出站规则。 如果您的安全部门说您需要过滤出站,那么您需要过滤出站。 现在就由您来与他们合作,以确定他们需要的过滤级别。