iptables, kebijakan standar vs aturan

Apakah ada perbedaan dalam menjatuhkan paket yang tidak cocok dengan kebijakan default vs -j DROPpada akhirnya?

Suka:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

vs.

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Alasan mengapa saya peduli adalah karena saya tidak dapat membuat rantai dengan log dan menganggapnya sebagai kebijakan default sehingga saya perlu menggunakan contoh kedua.

Dari sudut pandang teknis, Tidak. Paket akan dijatuhkan dengan cara apa pun.

Tapi Sirex cukup benar karena bisa sedikit menyakitkan jika Anda melupakan sesuatu yang penting saat mengganti aturan default tabel.

Setelah menghabiskan waktu dengan IPTables, Anda mungkin akan menemukan preferensi dan membangun sistem Anda di sekitar itu di lingkungan Anda.

Iya. Jika Anda menggunakan kebijakan DROP, dan kemudian terhubung melalui SSH dan flush the table ( iptables -F), Anda mengunci diri karena kebijakan default tidak memerah.

Saya telah melakukan ini pada sistem jarak jauh. Itu sakit.

(Pelajaran lain yang dipelajari, jika Anda ingin menyingkirkan firewall untuk sementara waktu, gunakan service iptables stop, bukan iptables-F + service iptables reload)

Kebijakan default kemungkinan lebih aman dari yang lebih mudah untuk dikelola. Anda tidak bisa lupa menambahkannya sampai akhir.

Mungkin satu hal lagi untuk topik ini bagi mereka yang membutuhkan sedikit informasi seperti saya beberapa jam yang lalu.

Cara terakhir:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

tidak membiarkan Anda menambahkan aturan nanti (karena aturan yang ditambahkan akan muncul setelah aturan drop universal dan karenanya tidak akan berpengaruh), Anda harus memasukkan aturan dengan pernyataan eksplisit dari posisi yang diinginkan:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

dari pada

iptables -A INPUT --dport 80 -j ACCEPT

Tergantung pada kebutuhan Anda, itu mungkin membantu keamanan sedikit dengan mengharuskan Anda atau apa pun nanti menambahkan aturan untuk benar-benar pergi melalui aturan yang ada dan tidak hanya menambahkannya seperti biasa.

Ini mengetahui saya telah mendapatkan kemarin sambil memeriksa selama dua puluh menit mengapa layanan saya yang baru diinstal tidak akan merespon meskipun semuanya sudah berjalan dan berjalan.

Kebijakan default sangat terbatas, tetapi buat backstop yang baik untuk memastikan paket yang tidak ditangani ditangani dengan cara yang tepat.

Jika Anda perlu (ingin) mencatat paket-paket itu, Anda memerlukan aturan final. Ini bisa berupa rantai yang mencatat dan menerapkan kebijakan. Anda juga bisa login dan biarkan kebijakan menanganinya.

Pertimbangkan pendekatan kebijakan ini, dan aturan kebijakan final.

• gunakan dan terima kebijakan dan timpa dengan kebijakan yang diinginkan sebagai aturan terakhir. Ini dapat melindungi Anda saat Anda mengelola host di lokasi yang jauh. Jika Anda membatalkan aturan Anda, Anda hanya tersisa dengan garis pertahanan sekunder Anda seperti hosts.allow. Jika Anda membatalkan aturan terakhir, Anda sebagian besar konfigurasi terbuka atau sepenuhnya terbuka.
• atur kebijakan yang diinginkan dan hentikan dengan aturan kebijakan akhir. Ini bisa lebih aman ketika Anda memiliki akses fisik, atau konsol ke host. Jika Anda membatalkan aturan, Anda kehilangan akses ke semua layanan kecuali kebijakannya MENERIMA. Jika Anda membatalkan aturan final Anda, Anda masih terlindungi.