LINUX.ORG.RU

История изменений

Исправление bormant, (текущая версия) :

главной задачей является - ЗАЩИТА!!!

Да.

Поэтому заумный дебиановец идет в бесплатное пешее путшествие

Если даже и идёт, то точно не «поэтому».

Вернемся к помянутой выше шпаргалке.

Прежде всего, речь только о IPv4 (если IPv6 разрешен, то у него свои таблички/правила).
С машины наружу разрешено любое соединение.
Снаружи внутрь разрешено:
- открыть соединение на порт 22,
- передача данных по любому соединению, установленному изнутри.
Передача пакетов другим машинам запрещена с выдачей icmp-уведомления.

От чего же она защищает?
Если что-то откроет по IPv4 порт на прослушивание, к нему нельзя инициировать подключение извне — да.
Если что-то по IPv4 инициирует соединение наружу, соединение и передача данных состоятся, защиты нет.

Если порт никем не слушается, подключиться на него невозможно, ломать на нём некого.
Вот об этом говорил «дебиановец». Не вешайте внутренние сервисы на внешние интерфейсы, не ставьте ненужных сервисов — не будет точек для подключения, не будет необходимости ограничивать фаерволом подключение на такие точки. Правда гарантировать такое много сложнее, чем централизованная настройка того же самого на фаерволе :)

А теперь главный вопрос: чем наличие этого фаервола отличается от его отсутствия, когда в сервисах только sshd, ip_forward=«0» (не считая icmp-уведомлений)?

Исправление bormant, :

главной задачей является - ЗАЩИТА!!!

Да.

Поэтому заумный дебиановец идет в бесплатное пешее путшествие

Если даже и идёт, то точно не «поэтому».

Вернемся к помянутой выше шпаргалке.

Прежде всего, речь только о IPv4 (если IPv6 разрешен, то у него свои таблички/правила).
С машины наружу разрешено любое соединение.
Снаружи внутрь разрешено:
- открыть соединение на порт 22,
- передача данных по любому соединению, установленному изнутри.
Передача пакетов другим машинам запрещена с выдачей icmp-уведомления.

От чего же она защищает?
Если что-то откроет по IPv4 порт на прослушивание, к нему нельзя инициировать подключение извне — да.
Если что-то по IPv4 инициирует соединение наружу, соединение и передача данных состоятся, защиты нет.

Если порт никем не слушается, подключиться на него невозможно, ломать на нём некого.
Вот об этом говорил «дебиановец». Не вешайте внутренние сервисы на внешние интерфейсы, не ставьте ненужных сервисов — не будет точек для подключения, не будет необходимости ограничивать фаерволом подключение на такие точки. Правда гарантировать такое много сложнее, чем централизованная настройка того же самого на фаерволе :)

А теперь главный вопрос: чем наличие этого фаервола отличается от его отсутствия, когда в сервисах только sshd, ip_forward=«0» (не считая icm-уведомлений)?

Исходная версия bormant, :

главной задачей является - ЗАЩИТА!!!

Да.

Поэтому заумный дебиановец идет в бесплатное пешее путшествие

Если даже и идёт, то точно не «поэтому».

Вернемся к помянутой выше шпаргалке.

Прежде всего, речь только о IPv4 (если IPv6 разрешен, то у него свои таблички/правила).
С машины наружу разрешено любое соединение.
Снаружи внутрь разрешено:
- открыть соединение на порт 22,
- передача данных по любому соединению, установленному изнутри.
Передача пакетов другим машинам запрещена с выдачей icmp-уведомления.

От чего же она защищает?
Если что-то откроет по IPv4 порт на прослушивание, к нему нельзя инициировать подключение извне — да.
Если что-то по IPv4 инициирует соединение наружу, соединение и передача данных состоятся, защиты нет.

Если порт никем не слушается, подключиться на него невозможно, ломать на нём некого.
Вот об этом говорил «дебиановец». Не вешайте внутренние сервисы на внешние интерфейсы, не ставьте ненужных сервисов — не будет точек для подключения, не будет необходимости ограничивать фаерволом подключение на такие точки. Правда гарантировать такое много сложнее, чем централизованная настройка того же самого на фаерволе :)