Почему iptable необходим, если я могу доверять установке моего сервера?
Я пытаюсь получить немного больше в лучших методах безопасности для моего личного знания.
На самом деле я не могу понять необходимость настройки брандмауэра, как Iptable, если я могу доверять настройке моего сервера.
В моем нынешнем состоянии это можно объяснить так: если я знаю, что только:
- Веб-сервер прослушивает порт 80
- SSH-сервер прослушивает порт 22
- Api-сервер прослушивает порт 8080
выполняются на моем сервере, любой входящий трафик на моем (единственном) сетевом адаптере eth0, который не использует порт 80, 22 или 8080, будет потерян, потому что на этих портах не прослушивается процесс.
Это ничего не значит, потребляя входящие пакеты, поэтому они просто отбрасываются.
Имея это в виду, я не понимаю необходимости настройки iptables для приема только трафика tcp через порты 80, 22 и 8080.
Это было все до того, как я посмотрел это отличное видео:
https://serversforhackers.com/video/firewalls-basics-of-iptables
В видео показано, как настроить конфигурацию iptable для этого: принимать только входящий трафик через порты 80, 22 и 8080 и отбрасывать все остальные входные пакеты.
Я думаю, что есть причина для этого, но я не могу найти это.
Можете ли вы объяснить, зачем нужна эта iptable-конфигурация?
Существуют ли различия между сбросом пакета iptable и пакетом, не "потребляемым" каким-либо приложением, работающим на сервере?
Большое спасибо.
1 ответ
Попытка подключения к другим портам все еще сгенерирует ответный пакет RST, возможно, к поддельному назначению.
Кроме того, он предотвращает запуск нового процесса на вашем узле и делает его доступным.