iptables、デフォルトポリシーとルール

既定のポリシーと-j DROP最後のポリシーで一致しないパケットをドロップするのに違いはありますか？

お気に入り：

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

対

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

私が気にする理由は、ログを使用してチェーンを作成し、それをデフォルトポリシーとして割り当てることができないため、2番目の例を使用する必要があるためです。

技術的な観点からは、いいえ。パケットはどちらの方法でもドロップされます。

しかし、Sirexは、テーブルのデフォルトルールを切り替えるときに重要な何かを忘れると、少し苦痛になることがあるという点で非常に正しいです。

IPTablesで時間を費やした後、好みを見つけて、その環境に合わせてシステムを構築する可能性があります。

はい。DROPのポリシーを使用し、SSHで接続してテーブルをフラッシュするiptables -F場合（）、デフォルトのポリシーはフラッシュされないため、ロックアウトされます。

リモートシステムでこれを実行しました。痛い。

（学習した他のレッスン、しばらくの間ファイアウォールを取り除きたい場合はservice iptables stop、iptables-F + ではなくを使用してくださいservice iptables reload）

ただし、デフォルトポリシーの方が管理しやすいため、安全性が高い可能性があります。最後に追加することを忘れないでください。

数時間前に私と同じように、このちょっとした情報が必要な人のために、このトピックにもう1つ触れてください。

後者の方法：

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

後でルールを追加することはできません（追加されたルールはユニバーサルドロップルールの後に表示され、効果がないため）、目的の位置の明示的なステートメントでルールを挿入する必要があります。

iptables -I INPUT 1 --dport 8080 -j ACCEPT

の代わりに

iptables -A INPUT --dport 80 -j ACCEPT

必要に応じて、通常どおり追加するだけでなく、既存のルールを実際に通過するようにルールを追加することを要求することにより、セキュリティを少しだけ助けることができます。

これは、すべてが稼働しているにもかかわらず、新しくインストールしたサービスが応答しない理由を20分間チェックしながら、昨日獲得しました。

デフォルトのポリシーはかなり制限されていますが、未処理のパケットが適切な方法で処理されることを保証するための適切な対策を講じます。

これらのパケットをログに記録する必要がある場合は、最終ルールが必要です。これは、ポリシーをログに記録して適用するチェーンにすることができます。また、ログに記録して、ポリシーで処理することもできます。

ポリシーに対するこれらのアプローチと、最終的なポリシールールを検討してください。

• ポリシーを使用して受け入れ、最終規則として目的のポリシーでオーバーライドします。これにより、リモートの場所でホストを管理するときに保護できます。ルールを削除すると、hosts.allowなどの2次防御ラインのみが残ります。最終的なルールを削除すると、ほとんど開いた構成または完全に開いた構成になります。
• 目的のポリシーを設定し、最終的なポリシールールでバックストップします。ホストへの物理的またはコンソールアクセスがある場合、これはより安全です。ルールを削除すると、ポリシーがACCEPTでない限り、すべてのサービスへのアクセスが失われます。最終ルールを削除しても、保護されます。