iptables, политика по умолчанию против правил

Есть ли разница в отбрасывании несогласованных пакетов с политикой -j DROPпо умолчанию против конца?

Подобно:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

против

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Причина, по которой меня это волнует, заключается в том, что я не могу создать цепочку с журналом и использовать ее в качестве политики по умолчанию, поэтому мне нужно будет использовать второй пример.

С технической точки зрения, нет. Пакет отбрасывается в любом случае.

Но Sirex совершенно прав в том, что может быть немного больно, если вы забудете что-то важное при переключении правил таблицы по умолчанию.

Потратив некоторое время на IPTables, вы, скорее всего, найдете предпочтения и создадите свои системы вокруг этого в вашей среде.

Да. Если вы используете политику DROP, а затем подключаетесь по SSH и очищаете таблицу ( iptables -F), вы блокируете себя, поскольку политика по умолчанию не очищается.

Я сделал это на удаленной системе. Больно.

(Другой урок: если вы хотите на время избавиться от брандмауэра, используйте service iptables stop, а не iptables-F + service iptables reload)

Политика по умолчанию, вероятно, более безопасна, так как ей легче управлять. Вы не можете забыть добавить его в конец.

Может быть, еще одна вещь в этой теме для тех, кому нужна эта информация, как я несколько часов назад.

Последний способ:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

не позволяет вам добавить правило позже (поскольку добавленное правило появится после универсального правила удаления и, следовательно, не будет иметь никакого эффекта), вам придется вставить правило с явным указанием желаемой позиции:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

вместо того

iptables -A INPUT --dport 80 -j ACCEPT

В зависимости от ваших потребностей это может помочь безопасности чуть-чуть, потребовав от вас или от того, что позже добавит правило, чтобы действительно следовать существующим правилам, а не просто добавлять его как обычно.

Это знание, которое я заработал вчера, проверяя двадцать минут, почему моя недавно установленная служба не отвечает, даже если все работает.

Политики по умолчанию довольно ограничены, но обеспечивают хорошую поддержку для обеспечения надлежащей обработки необработанных пакетов.

Если вам нужно (хотите) регистрировать эти пакеты, вам нужно окончательное правило. Это может быть цепочка, которая регистрирует и применяет политику. Вы также можете просто войти и позволить политике справиться с этим.

Рассмотрим эти подходы к политике и окончательное правило политики.

• используйте и примите политику и переопределите желаемую политику в качестве окончательного правила. Это может защитить вас, когда вы управляете хостом в удаленном месте. Если вы откажетесь от своих правил, у вас останется только вторая линия защиты, такая как hosts.allow. Если вы отбросите свое последнее правило, вы окажетесь в основном открытой или полностью открытой конфигурации.
• установите желаемую политику и сделайте резервную копию с окончательным правилом политики. Это может быть более безопасно, если у вас есть физический или консольный доступ к хосту. Если вы откажетесь от своих правил, вы потеряете доступ ко всем службам, если не действует политика ПРИНЯТЬ. Если вы отбросите свое последнее правило, вы все еще защищены.