所以我想了解防火墙的概念。我知道防火墙是什么。我的问题是尝试了解是否需要在我的 Linux 机器上设置防火墙。如果路由器上设置了防火墙?我难以理解的是,我有一个运行良好的系统(所以可能不是完美,还行)但它是通过 https 进行通信的。然后我们在路由器上应用了防火墙 OUTBbound 规则,仅允许以下端口。
Allow TCP xxx.xxx.xxx.xx/32 443 to Destination any any
Allow UDP xxx.xxx.xxx.xx/32 53 to Destination any any
Allow ICMP xxx.xxx.xxx.xx/32 to Destination any any
Allow UDP xxx.xxx.xxx.xx/32 143 to Destination any any
Allow TCP xxx.xxx.xxx.xx/32 143 to Destination any any
Allow UDP xxx.xxx.xxx.xx/32 123 to Destination any any
Deny on all other
应用这些规则后,我的系统停止了通信。现在,在我开始使用 iptables 设置防火墙之前。难道这不应该不用我在机器上设置任何东西就能正常工作吗?
我是否必须在自己的终端上设置防火墙规则?如果需要,为什么?
答案1
Allow TCP xxx.xxx.xxx.xx/32 443 to Destination any any
该 ACL 条目允许连接从指定 IP、TCP 端口 443 到任意目的地。如果您将其应用于入口的面向服务器的端口或出口的面向 WAN 的端口,它应该可以工作,因此允许服务器回复。
但是,由于恶意数据包在收到时已经可能危及您的服务器,因此您应该应用反向防火墙规则在进入 WAN 端口时.这确保没有恶意数据包到达服务器,例如:
Allow TCP any any to Destination xxx.xxx.xxx.xx/32 443
一般来说,当数据包试图进入您的基础设施时,应该尽早应用 ACL。