iptables 允许一切,安全吗?

iptables 允许一切,安全吗?

操作系统是 Ubuntu Server 18,我在上面运行一个 Web 服务器。

接受所有端口上的所有流量是否安全?

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

我尝试限制端口并只允许一些端口,但是即使我专门打开了端口 21,我的 ftp 服务器也无法工作...

答案1

最好将自己隐藏在防火墙后面,这意味着防火墙应该有一些主动的限制策略。当它打开时,就好像它根本不存在一样。如果您只有 Web 服务器并希望将其提供给任何网络,那么结果是相同的。但是,如果您在没有防火墙的情况下执行其他操作,它就会立即从外部可用。涉及很多因素,例如机器是什么。但规则应该是(在我看来)只公开你打算公开的内容。其余的都应该被覆盖。

另一方面是防火墙可以设置的暴露限制。

我的建议是至少学习 iptables 的基础知识并始终应用它们。还有许多辅助应用程序,例如这个,这是一个返工和调整这个,您可能更喜欢。

答案2

这取决于你所说的“安全”是什么意思。在这种情况下,iptables 不会阻止任何内容,因此如果您依靠它来确保安全,它并不安全,但也不会在自身造成任何问题,因此可以称为安全。

关于使 FTP 通过防火墙工作:端口 21 上发生的情况只是控制内容,对于任何实际的数据传输,都会建立一个附加连接。这些连接的方向取决于它是主动还是被动 FTP,通常您还必须配置 FTP 服务器软件。但您还应该考虑一些现代替代方案(SFTP 或 webdav 等)是否可用,FTP 协议很旧,这表明了这一点。

相关内容