iptables, політика за замовчуванням проти правил

Чи є якась різниця у відміні невідповідних пакетів із політикою за замовчуванням проти -j DROPкінця?

Люблю:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

проти

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Причина, чому я хвилююсь, полягає в тому, що я не можу створити ланцюжок з журналом і вважаю це політикою за замовчуванням, тому мені потрібно використовувати другий приклад.

З технічної точки зору, ні. Пакет випадає в будь-якому випадку.

Але Sirex цілком правильний тим, що це може бути трохи болісно, ​​якщо ви забудете щось важливе при переключенні правил за замовчуванням таблиці.

Провівши деякий час з IPTables, ви, ймовірно, знайдете перевагу та побудуєте свої системи навколо цього у вашому оточенні.

Так. Якщо ви використовуєте політику DROP, а потім підключитесь до SSH і очистіть таблицю ( iptables -F), ви заблокуєте себе, оскільки політика за замовчуванням не змивається.

Я це робив у віддаленій системі. Це боляче.

(Інший урок, якщо ви хочете на деякий час позбутися брандмауера, використовуйте service iptables stop, а не iptables-F + service iptables reload)

Політика за замовчуванням, ймовірно, більш захищена від легшого керування. Ви не можете забути додати його до кінця.

Можливо, ще одна річ до цієї теми для тих, хто потребує цього трохи інформації так само, як я кілька годин тому.

Останній спосіб:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

не дозволяє додавати правило пізніше (оскільки додане правило з'явиться після універсального правила відкидання і, отже, не матиме ефекту), вам доведеться вставити правило з явним твердженням потрібної позиції:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

замість

iptables -A INPUT --dport 80 -j ACCEPT

Залежно від ваших потреб, це може допомогти безпеці крихітно, вимагаючи від вас або що далі додає правило, щоб дійсно пройти існуючі правила, а не просто додати його як зазвичай.

Це знання я заробив вчора, перевіряючи протягом двадцяти хвилин, чому моя нещодавно встановлена ​​служба не відповість, хоча все працює і працює.

Політика за замовчуванням є досить обмеженою, однак зробіть хороший зворотний простір, щоб забезпечити належним чином поводження з необробленими пакетами.

Якщо вам потрібно (хочете) записати ці пакети, вам потрібно остаточне правило. Це може бути ланцюжок, який реєструє та застосовує політику. Ви також можете просто увійти та дозволити політиці обробляти це.

Розглянемо ці підходи до політики та остаточне правило політики.

• використовувати та приймати політику та заміняти бажану політику як остаточне правило. Це може захистити вас, коли ви керуєте хостом у віддаленому місці. Якщо ви кинете свої правила, вам залишиться лише ваша друга захисна лінія, наприклад, господарі. Якщо ви скасуєте своє остаточне правило, ви опиняєтесь в основному відкритій або повністю відкритій конфігурації.
• встановіть потрібну політику та зупиніть її остаточним правилом. Це може бути більш безпечним при фізичному або консольному доступі до хоста. Якщо ви скасуєте свої правила, ви втрачаєте доступ до всіх служб, якщо політика не приймається. Якщо ви скасуєте своє остаточне правило, ви все одно будете захищені.