जब मैं किसी सर्वर पर पोर्ट को टेलनेट करने की कोशिश करता हूं, और अगर उस पोर्ट पर सुनने वाला कोई प्रोग्राम नहीं है, तो "कनेक्ट करने में असमर्थ ..." त्रुटि के साथ टेलनेट की मृत्यु हो जाती है। मैं समझता हूँ कि। लेकिन, अगर किसी पोर्ट पर कोई प्रोग्राम नहीं सुना जाता है, तो हमें फ़ायरवॉल की आवश्यकता क्यों है?
जवाबों:
हो सकता है कि अभी कोई सेवा न चल रही हो, लेकिन कल कैसे होगी? आपने उन सभी को बंद कर दिया है, लेकिन आपके उपयोगकर्ताओं के बारे में क्या है? यूनिक्स / विंडोज़ / मैक सिस्टम पर कोई भी किसी भी मशीन पर पोर्ट> 1024 खोल सकता है, जिसकी पहुँच उनके पास है। मैलवेयर के बारे में क्या? वायरस के बारे में क्या? वे पोर्ट भी खोल सकते हैं और दुनिया को जानकारी प्रदान करना शुरू कर सकते हैं, या नेटवर्क से कनेक्शन के लिए सुनना शुरू कर सकते हैं।
फ़ायरवॉल का मुख्य उद्देश्य उन सेवाओं के लिए पोर्ट को ब्लॉक करना नहीं है जिन्हें आप जानते हैं कि वे अक्षम हैं, यह उन सेवाओं पर पोर्ट को ब्लॉक करना है जिनके बारे में आप नहीं जानते होंगे। आपके द्वारा अधिकृत सेवाओं के लिए केवल कुछ छिद्रों के साथ एक डिफ़ॉल्ट इनकार के रूप में सोचें । उपयोगकर्ता द्वारा शुरू किया गया कोई भी प्रोग्राम या प्रोग्राम उस सिस्टम पर एक सर्वर शुरू कर सकता है जिसकी उनके पास पहुंच है, फ़ायरवॉल किसी और को उस सेवा से कनेक्ट करने से रोकता है।
एक अच्छा व्यवस्थापक जानता है कि किन सेवाओं को उजागर करने की आवश्यकता है, और उन्हें सक्षम कर सकते हैं। एक फ़ायरवॉल ज्यादातर आपके सिस्टम या आपके नेटवर्क पर चल रहे अज्ञात सर्वरों के जोखिम को कम करने के लिए है, साथ ही एक केंद्रीय स्थान से नेटवर्क में क्या अनुमति है इसका प्रबंधन करने के लिए।
यह जानना महत्वपूर्ण है कि आपके मशीन / सर्वर पर क्या चल रहा है और केवल उसी चीज़ को सक्षम करें जिसकी आपको आवश्यकता है, लेकिन फ़ायरवॉल उन चीजों के प्रति अतिरिक्त सुरक्षा प्रदान करता है जिनके बारे में आपको जानकारी नहीं है।
hg serveजो आपकी मशीन पर एक वेबसर्वर शुरू करता है। बिंदु, किसी भी मशीन पर एक सर्वर शुरू करना तुच्छ है चाहे वह 'डेस्कटॉप' के रूप में उपयोग किया जाए या 'सर्वर' कोई फर्क नहीं पड़ता। और एक बार उस सर्वर को शुरू कर दिया जाता है, और आप इसके बारे में नहीं जानते हैं ... ठीक है, जब यह मज़ा शुरू होता है।
यदि किसी पोर्ट पर कोई प्रोग्राम नहीं सुनाई दे रहा है, तो आपको फ़ायरवॉल की आवश्यकता नहीं है, लेकिन आप अपने सर्वर से कनेक्ट नहीं कर सकते क्योंकि यह बाकी दुनिया से 'सील' है।
दूसरी ओर ... मान लीजिए कि आपके सर्वर में किसी भी पोर्ट पर सुनने वाला कोई स्थानीय प्रोग्राम नहीं है, लेकिन यह इसके लिए अन्य कंप्यूटरों के लिए एक प्रवेश द्वार के रूप में कार्य करता है। इस मामले में आप चिनाई (NAT) को प्रबंधित करने के लिए एक फ़ायरवॉल का उपयोग करते हैं और वैकल्पिक रूप से आप पैकेट फ़ॉरवर्डिंग पर कुछ सामान फ़िल्टर कर सकते हैं।
/etc/ssh/sshd_configमशीन को सुरक्षित करने के लिए उपयोग करना चाहिए । PermitRootLoginसेट करने के लिए नहीं होना चाहिए, आपको एक सुरक्षित पासवर्ड का उपयोग करना चाहिए और sudo के साथ मशीन को बनाए रखना चाहिए (आप sudo अनुमतियों वाले खाते के साथ लॉग इन करने के बाद sudo का उपयोग कर सकते हैं)। फ़ायरवॉल के साथ प्रतिबंध सेट करना कार्य के लिए गलत उपकरण है। postgresqlडेटाबेस के लिए भी ऐसा ही होगा : अनुमतियों को सेट और निरस्त करने के लिए डेटाबेस कॉन्फ़िगरेशन का उपयोग करें।
कड़ाई से बोलते हुए, यह आवश्यक नहीं हो सकता है, हालांकि, यह ध्यान रखें कि फ़ायरवॉल नेटवर्क बंदरगाहों पर कनेक्शन को मना करने की तुलना में अधिक कार्यक्षमता प्रदान कर सकता है। उदाहरण के लिए, DROP बनाम REJECT व्यवहार।
लेकिन, अगर किसी पोर्ट पर कोई प्रोग्राम नहीं सुना जाता है, तो हमें फ़ायरवॉल की आवश्यकता क्यों है?
यदि आपके पास एक एकल-उपयोगकर्ता डेस्कटॉप है , तो सर्वर नहीं, आपको डिफ़ॉल्ट उबंटू इंस्टॉलेशन के अनुसार, कोई सेवा नहीं चल रही है, अगर कोई सेवा नहीं चल रही है।
विंडोज़ के पास कुछ समय था, नेटवर्किंग करने में सक्षम होने के बाद, कुछ सेवाएं रखरखाव, अपडेट, आंतरिक संदेश के गुजरने आदि के लिए डिफ़ॉल्ट रूप से चल रही थीं। आप उन्हें रोक नहीं सकते, बिना खिड़कियों को काम किए, लेकिन वे बाहरी हमलों के लिए असुरक्षित थे। इसलिए विंडोज़ उपयोगकर्ताओं को फ़ायरवॉल की आवश्यकता होती है, और मेमे, जिसे हर किसी को फ़ायरवॉल की आवश्यकता होती है, तेजी से फैलता है।
जब वे लिनक्स लोगों से मिले, जो अक्सर सर्वर व्यवस्थापक थे, तो उन्होंने यह नहीं कहा कि 'आपको लिनक्स पर फ़ायरवॉल की आवश्यकता नहीं है' लेकिन 'हमारे पास लगभग एक दशक तक iptables जैसे मुफ्त फ़ायरवॉल हैं'।
एक व्यक्तिगत फ़ायरवॉल , जिस सिस्टम पर यह रक्षा करेगा, उस पर बैठना या तो सबसे अच्छा विचार नहीं है।
desktopहैं इसका मतलब यह नहीं है कि यह अभी भी नहीं है serverजो केवल शब्द हैं। आपके desktopपास बहुत कुछ है serversजो संभावित रूप से उस पर चल सकता है, और संभवतः वह पहले से ही हैं।
t allow anything) on RedHat, start CUPS and see if you can connect to it from outside. Then look at iptables-save`: Voila - CUPS पोर्ट के माध्यम से अपने फ़ायरवॉल को सक्रिय करें, जो कि gui में दिखाए बिना खुला है ...