我设置了一些主要端口 – 20,21,22,23,53,80,443,用于传入和传出TCP连接。
如果我想从我的服务器连接到另一个ftp服务器,它使用30000-60000范围内的随机UDP端口。 所以我决定做一个iptables规则:
iptables -A INPUT -p udp -m multiport --dports 1:65535 -j ACCEPT 一般来说,离开这个规则是否安全? UDP端口是否有任何types的攻击? 谢谢。
FTP仅使用TCP。 您的FTP服务器可能使用UDP来parsingIP地址。 如果您使用conntrack接受相关的数据包您不需要任何UPD数据包的附加规则(通过在您的防火墙中的–state RELATED规则接受传入的DNS答复)。
话虽如此,被动模式下的FTP需要build立到服务器上的其他端口的TCP连接。 在大多数FTP服务器上,你可以设置一个范围。 我build议使用一些随机范围较高的端口,例如。 50000-56000(在sysctl net.ipv4.ip_local_port_range中定义的本地端口范围之外的mayby)。 一些防火墙可以监听ftp控制连接(端口21)并相应地打开端口,但是您应该对所有的控制连接使用encryption,并且这会使这些防火墙机制失效。
您可以通过添加-m owner –uid-owner 0来加强这些端口,这样只有root才能接受这些连接。
TL; DR
否您不需要UDP用于FTP,但是如果您不想接受端口> 1024上的所有传入TCP连接,则需要定义一系列TCP端口。
我几乎可以肯定一个DOS或DDOS攻击是UDP,或者至less它可以,但检查了这一点。
https://www.us-cert.gov/ncas/alerts/TA14-017A
这是最后更新于2016年4月13日,所以它肯定仍然适用。 这只是所有不同types的UDP端口和攻击types的列表。