背景
我正在为网络服务器设置防火墙,并且想知道拒绝相关输入流量是否是一个很好的安全措施,并且仅默认情况下已建立的连接除外。
在实践中
例如使用
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
而不是常见的
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
因为根据我的理解这应该更安全。
问题
这有什么问题吗?我知道 HTTP 应该没问题,而 FTP 可能会出现问题,它可能有自己的规则以及附加的 RELATED 选项,或者(就像我的情况)可能根本没有必要。
但是还有其他典型的网络服务器服务可能因此而中断吗?否则我喜欢使用更安全/更窄的规则集。
答案1
还有其他典型的网络服务器服务可能因此而中断吗?
不会。只要您正确配置 FTP 规则(如果您打算使用它),您就可以允许 ESTABLISHED 而不是 ESTABLISHED 和 RELATED