我是否需要使用 iptables 過濾 OUTPUT 以獲得專用的防火牆盒?
我已經知道如何使用 設置防火牆
iptables
,但是在訪問 IT 安全部門後,他們說我需要過濾OUTPUT
,但是,這對我來說毫無意義,我真的可以找到我需要這樣做的場景。所以,這是我的第一個問題:我真的需要過濾
OUTPUT
嗎?我
OUTPUT
預設接受所有並且沒有規則。這是安全漏洞嗎?他們還說我有代表安全漏洞的規則,我不同意。讓我們
FORWARD
以此為例:-P FORWARD DROP -A FORWARD -m state --state ESTABLISHED -j ACCEPT -A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT
他們說,在
ESTABLISHED
沒有指定source
和destination
作為第一條規則的情況下接受是一種安全漏洞。真的嗎?這是另一個安全漏洞嗎?ACCEPT
ESTABLISHED
不指定source
and是不好的做法destination
?
從安全形度來看,該策略通常是*“所有不允許的都將被拒絕”*,在這方面,
OUTPUT
鏈上的過濾屬於該一攬子策略。該**
OUTPUT
鏈涉及來自執行 iptables 的設備的**傳出 TCP/IP 數據包和連接,而不是通過防火牆的數據包。管理員應該知道設備的正常使用和預期用途是什麼,並且還應該能夠為
OUTPUT
鏈生成合適的過濾規則。對於一個不能太多的防火牆……
我希望可能是 DNS、NTP 和 syslog 流量到特定主機。
在伺服器的實踐中,我不經常看到
OUTPUT
鏈上的過濾,每個伺服器只是選擇性地打開服務和過濾器INPUT
,而傳出的流量在網路邊界(網段)上被過濾。這個想法是主機級別的防火牆也可以從主機進行修改,因此對於惡意管理員來說並沒有太大的障礙,一旦主機被完全破壞,也不會提供太多的保護。過濾傳出流量,即通過網路邊界上的防火牆將流量從“內部”路由(轉發)到“外部”(反之亦然)通常稱為出口過濾,並且發生在
FORWARD
鏈中,而不是OUTPUT
鏈中。出口過濾是一件好事,絕對是你應該做的事情。