我有两台台式机和一台运行 Arch Linux 的笔记本电脑。我还没有在任何机器上设置任何 iptable 规则,我很好奇是否应该设置。
一台台式机仅在我的家庭网络中使用,并受到廉价的电缆调制解调器/路由器/防火墙的“保护”,这些设备基本上未配置且未维护(当我收到它时,我更改了默认密码,并且从那以后三年内没有查看过它) )。桌面运行标准家庭用户应用程序(例如网页浏览和Skype)以及SSH 服务器。据我所知,防火墙默认配置会阻止所有传入连接,因为我只能从家庭网络内连接到 SSH 服务器。
另一个桌面位于我大学的防火墙后面。它更加宽松(我可以从校外通过 SSH 连接到机器),并且希望得到更好的维护。除了 SSH 服务器之外,除了网页浏览和 Skype 之外,该机器不执行任何与网络相关的操作。
笔记本电脑在家庭防火墙、大学防火墙后面使用,有时在不安全的公共无线和有线网络(例如酒店和咖啡店)上使用。
是否值得配置 IP 表?如果值得的话,不同机器的配置是否应该有所不同?可能相关的是,是否值得设置单独的独立防火墙来保护我的家庭网络?
答案1
实际上,您在问几个不同的问题。以下是您提出的问题和需要解决的问题:
1) 可以连接到其他网络的笔记本电脑,不仅仅是你的家或大学,可能是咖啡店、奶奶的房子或远处的酒店;您确实需要运行内部防火墙。如果是LINUX/UNIX,那么iptables是一个不错的选择。您将需要适用于 Microsoft 的 Windows Defender 等。否则,无论您在家里或在大学拥有什么,您的设备在未经过充分审查和保护的网络上始终容易受到攻击。
2) 桌面(根据定义)不会从一个 LAN 跳到另一个 LAN,它们是静态的。然而,由于您已经引入了这样的等式,即您的内部 LAN 设备可能会受到移动设备(例如笔记本电脑)的损害,而移动设备反过来又可能在这些外部网络上暴露,因此您提出了一个很好的论据来解释为什么您还需要在桌面上运行 iptables。类似于“特洛伊木马”,您的笔记本电脑或任何移动设备都可能被感染,并使用防火墙后面的本地 LAN 来感染您的其他设备。
3)最后,我们经常忘记家里或大学中防火墙后面的其他(非移动)设备。例如,中国军方非常擅长感染网络打印机。这些打印机没有内部防火墙功能,并且通常可以访问,因为即插即用网络软件实际上会在本地路由器上删除防火墙,以允许设备通过常见打印机端口(如端口 170、515、631 和/或 9100)连接,具体取决于端口生产厂家。如今,冰箱、烟雾报警器、电视机,凡是你能想到的东西——它们都是联网的,通常是无线的,位于你的本地局域网上。因此,您认为您的 LAN 受到防火墙和一两个设备上的某些防病毒软件的保护,但安全性仅与您维护防火墙/路由器规则并且不允许(或至少很快发现)未知一样好/我们定期将无数的即插即用设备带入局域网,从而造成不可预测的变化。
这三个场景确实表明您绝对需要运行 iptables。而且,提前了解这一点,如果台式机或笔记本电脑受到损害,而本来可以/可以/应该避免的话,那将是非常“痛苦”的。
答案2
是否使用iptables最终取决于您。你必须看看它有什么能力以及你想要它做什么。在很高的水平上,iptables可以很好地完成三件事:
- 过滤入站网络流量
- 过滤出站网络流量
- 记录流量
通常,iptables在住宅路由器后面的系统上不需要进行配置,因为此类路由器默认情况下应阻止入站数据包。如果您决定向 Internet 公开一项服务(例如 ssh)并将路由器上的端口转发到网络中的 ssh 服务器,那么使用iptables就变得更有意义。它可用于根据源或目标 IP/网络块过滤流量,控制系统响应不需要的流量的 icmp 错误,甚至记录发送给任何人的每个数据包。
问题确实是:
- 您的计算机上是否有任何您不希望其他人与之交互的服务?
- 是否有任何您不希望网络中的人员能够连接的外部服务?
- 您想要进行多少日志记录?
附加信息:
man iptables搜索拒绝