iptables, डिफ़ॉल्ट नीति बनाम नियम

क्या डिफ़ॉल्ट पॉलिसी बनाम -j DROPअंत में नहीं-मिलान किए गए पैकेट छोड़ने में कोई अंतर है ?

पसंद:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

बनाम

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

इस कारण कि मैं परवाह करता हूं क्योंकि मैं लॉग के साथ श्रृंखला नहीं बना सकता हूं और इसे डिफ़ॉल्ट नीति के रूप में आश्वासन देता हूं, इसलिए मुझे दूसरे उदाहरण का उपयोग करने की आवश्यकता होगी।

एक तकनीकी दृष्टिकोण से, नंबर पैकेट किसी भी तरह से गिरा दिया जाता है।

लेकिन Sirex इसमें काफी सही है कि यह थोड़ा दर्दनाक हो सकता है यदि आप टेबल डिफॉल्ट नियमों को स्विच करते समय कुछ महत्वपूर्ण भूल जाते हैं।

IPTables के साथ कुछ समय बिताने के बाद, आप संभवतः एक वरीयता प्राप्त करेंगे और अपने वातावरण में अपने सिस्टम का निर्माण करेंगे।

हाँ। यदि आप DROP की नीति का उपयोग करते हैं, और फिर SSH से जुड़ते हैं और तालिका को फ्लश कर देते हैं (iptables -F ), तो आप अपने आप को लॉक कर लेते हैं क्योंकि डिफ़ॉल्ट नीति फ्लश नहीं होती है।

मैंने यह रिमोट सिस्टम पर किया है। दर्द हुआ।

(अन्य सबक सीखा, अगर आप थोड़ी देर के लिए फ़ायरवॉल से छुटकारा चाहते हैं, तो उपयोग करें service iptables stop, iptables-F + नहींservice iptables reload )

एक डिफ़ॉल्ट नीति हालांकि प्रबंधन करने में आसान होने से अधिक सुरक्षित है। आप इसे अंत तक जोड़ना नहीं भूल सकते।

हो सकता है कि इस विषय के लिए एक और बात उन लोगों के लिए जिन्हें कुछ घंटों पहले मेरी तरह इस जानकारी की आवश्यकता है।

बाद का तरीका:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

आपको बाद में कोई नियम लागू नहीं करने देता (क्योंकि अनुप्रयुक्त नियम सार्वभौमिक ड्रॉप नियम के बाद दिखाई देगा और इसलिए इसका कोई प्रभाव नहीं होगा), आपको वांछित स्थिति के स्पष्ट विवरण के साथ नियम सम्मिलित करना होगा:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

के बजाय

iptables -A INPUT --dport 80 -j ACCEPT

आपकी आवश्यकताओं के आधार पर यह आपकी आवश्यकता के अनुसार सुरक्षा में थोड़ी मदद कर सकता है या जो भी बाद में नियम जोड़ता है वह वास्तव में मौजूदा नियमों से गुजरता है न कि इसे हमेशा की तरह जोड़ दें।

यह पता है कि मैंने कल बीस मिनट की जाँच करते हुए अर्जित किया है कि क्यों मेरी नई स्थापित सेवा प्रतिक्रिया नहीं देगी, भले ही सब कुछ ऊपर और चल रहा हो।

डिफ़ॉल्ट नीतियां काफी सीमित हैं, लेकिन यह सुनिश्चित करने के लिए एक अच्छा बैकस्टॉप बनाते हैं कि अन-हैंडल किए गए पैकेट को उचित तरीके से निपटाया जाए।

यदि आपको उन पैकेटों को लॉग इन करने की आवश्यकता है (चाहते हैं) तो आपको अंतिम नियम की आवश्यकता है। यह एक श्रृंखला हो सकती है जो नीति को लॉग और लागू करती है। आप बस लॉग इन कर सकते हैं और पॉलिसी को संभाल सकते हैं।

नीति और अंतिम नीति नियम के इन दृष्टिकोणों पर विचार करें।

• नीति का उपयोग करें और स्वीकार करें और अंतिम नियम के रूप में वांछित नीति के साथ ओवरराइड करें। जब आप किसी दूरस्थ स्थान पर होस्ट प्रबंधित कर रहे हों तो यह आपकी सुरक्षा कर सकता है। यदि आप अपने नियमों को छोड़ देते हैं, तो आप केवल अपनी रक्षा पंक्ति जैसे कि hosts.allow के साथ ही बचे हैं। यदि आप अपना अंतिम नियम छोड़ते हैं तो आप ज्यादातर खुले या पूर्ण रूप से खुले कॉन्फ़िगरेशन में समाप्त होते हैं।
• वांछित नीति निर्धारित करें और इसे अंतिम नीति नियम के साथ बैकस्टॉप करें। यह तब अधिक सुरक्षित हो सकता है जब आपके पास होस्ट करने के लिए भौतिक या कंसोल पहुंच हो। यदि आप अपने नियमों को छोड़ देते हैं, तो आप सभी सेवाओं तक पहुँच ढीली कर देते हैं जब तक कि पॉलिसी ACCEPT नहीं होती है। यदि आप अपना अंतिम नियम छोड़ देते हैं, तो आप अभी भी सुरक्षित हैं।