公共 IP 上的建议最小开放端口配置

公共 IP 上的建议最小开放端口配置

让我们假设一个 Linux 服务器有一个由 ISP(或其他服务器)分配的公共 IP,并且一般规则/思维是关闭所有不必要的端口/协议。

显然,与所提供服务相关的端口应该保持开放,即 Web 服务器可能应该可以通过 TCP 80、443、8080 等端口访问。让我们将用于管理的 ssh 也添加到“明显的组”中。这不是这个问题的重点。

是否存在需要保持开放的端口 / 协议列表以使服务器在其网络内正常运行?

例如:可能是 UDP 68,以防 ISP 或网络 DHCP 服务器想要重新分配新 IP?可能是 ICMP,用于网络故障排除?

我知道这在某种程度上只是个人观点,但也许存在普遍共识。谢谢。

答案1

正如前面的答案所述,除非需要,否则您应该保持所有端口关闭。

我想补充另外两个方面:

  • 连接性:我会确保保持 ICMP 允许(这不完全是一个要打开的端口,而是为了确保你没有设置防火墙),因为有网络调整需要它(正如本文所述好文章并且这个)。ICMP 不仅仅用于ping和诊断。
  • 安全性:我建议在装有通用操作系统的服务器前面始终放置某种前端设备或主机。任何类型的防火墙设备,甚至正确配置的路由器都会大大减少连接面,并减少(但不会完全消除)保持服务器使用内核和网络堆栈软件补丁程序保持最新状态的需求。

希望能帮助到你!

答案2

默认情况下关闭所有端口。理想情况下,您应该在 Linux 服务器和 ISP 之间安装防火墙设备,以提供 NAT/PAT、流量检查、访问规则等。您需要这种精细的控制级别,并且有很多防火墙选项。然后,您可以与防火墙建立 VPN 连接,然后“私下”管理服务器,而不是通过公共互联网。这是我的 2 分钱。

相关内容