Security

我是否需要使用 iptables 過濾 OUTPUT 以獲得專用的防火牆盒?

  • June 10, 2015

我已經知道如何使用 設置防火牆iptables,但是在訪問 IT 安全部門後,他們說我需要過濾OUTPUT,但是,這對我來說毫無意義,我真的可以找到我需要這樣做的場景。所以,這是我的第一個問題:

我真的需要過濾OUTPUT嗎?

OUTPUT預設接受所有並且沒有規則。這是安全漏洞嗎?

他們還說我有代表安全漏洞的規則,我不同意。讓我們FORWARD以此為例:

-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT

他們說,在ESTABLISHED沒有指定sourcedestination作為第一條規則的情況下接受是一種安全漏洞。真的嗎?這是另一個安全漏洞嗎?ACCEPT ESTABLISHED不指定sourceand是不好的做法destination

從安全形度來看,該策略通常是*“所有不允許的都將被拒絕”*,在這方面,OUTPUT鏈上的過濾屬於該一攬子策略。

該**OUTPUT鏈涉及來自執行 iptables 的設備的**傳出 TCP/IP 數據包和連接,而不是通過防火牆的數據包。

管理員應該知道設備的正常使用和預期用途是什麼,並且還應該能夠為OUTPUT鏈生成合適的過濾規則。

對於一個不能太多的防火牆……

我希望可能是 DNS、NTP 和 syslog 流量到特定主機。

在伺服器的實踐中,我不經常看到OUTPUT鏈上的過濾,每個伺服器只是選擇性地打開服務和過濾器INPUT,而傳出的流量在網路邊界(網段)上被過濾。這個想法是主機級別的防火牆也可以從主機進行修改,因此對於惡意管理員來說並沒有太大的障礙,一旦主機被完全破壞,也不會提供太多的保護。

過濾傳出流量,即通過網路邊界上的防火牆將流量從“內部”路由(轉發)到“外部”(反之亦然)通常稱為出口過濾,並且發生在FORWARD鏈中,而不是OUTPUT鏈中。

出口過濾是一件好事,絕對是你應該做的事情。

引用自:https://serverfault.com/questions/697692