Когда я пытаюсь подключиться через telnet к порту на сервере, и если на этом порту нет прослушивающих программ, telnet умирает с ошибкой «Unable to connect ...». Я это понимаю. Но зачем нам брандмауэр, если на всех портах нет программ, слушающих?
Когда я пытаюсь подключиться через telnet к порту на сервере, и если на этом порту нет прослушивающих программ, telnet умирает с ошибкой «Unable to connect ...». Я это понимаю. Но зачем нам брандмауэр, если на всех портах нет программ, слушающих?
Ответы:
Возможно, сейчас не работает служба, но как насчет завтра? У вас все они отключены, но как насчет ваших пользователей? Любой в системе Unix / Windows / Mac может открыть порт> 1024 на любой машине, к которой у него есть доступ. Как насчет вредоносных программ? Как насчет вируса? Они также могут открыть порты и начать передавать информацию миру или начать прослушивать соединения из сети.
Основная цель брандмауэра - не блокировать порты для служб, которые, как вы знаете, отключены, а блокировать порты для служб, о которых вы, возможно, не знаете. Думайте об этом как об отказе по умолчанию, когда в авторизованных вами сервисах пробиваются только определенные дыры. Любой пользователь или программа, запущенная пользователем, может запустить сервер в системе, к которой у него есть доступ, брандмауэр не позволяет кому-либо еще подключиться к этой службе.
Хороший админ знает, какие сервисы нужно выставить, и может их включить. Брандмауэр в основном предназначен для снижения риска от неизвестных серверов, работающих в вашей системе или вашей сети, а также для управления тем, что разрешено в сети из центрального места.
Важно знать, что работает на вашем компьютере / сервере, и включать только то, что вам нужно, но брандмауэр обеспечивает дополнительную защиту от вещей, о которых вы не знаете.
hg serve
который запускает веб-сервер на вашем компьютере. Дело в том, что запуск сервера на любом компьютере, независимо от того, используется ли он в качестве «рабочего стола» или «сервера», не имеет значения. И как только этот сервер запущен, и вы не знаете об этом ... ну, вот тогда начинается самое интересное.
Если программа не прослушивает ни один порт, вам не нужен брандмауэр, но вы также не можете подключиться к вашему серверу, потому что он «изолирован» от остального мира.
С другой стороны ... допустим, что на вашем сервере нет какой-либо локальной программы, прослушивающей какой-либо порт, но он служит шлюзом для других компьютеров за ним. В этом случае вы используете брандмауэр для управления маскарадингом (NAT) и при желании вы можете фильтровать некоторые вещи при пересылке пакетов.
/etc/ssh/sshd_config
для защиты машины. PermitRootLogin
должно быть установлено на Нет, вы должны использовать безопасный пароль и поддерживать машину с помощью sudo (вы можете использовать sudo после входа в систему с учетной записью с разрешениями sudo). Установка ограничений с помощью брандмауэра - просто неправильный инструмент для работы. То же самое будет верно для postgresql
базы данных: используйте конфигурацию базы данных, чтобы установить и отозвать разрешения.
Строго говоря, в этом может не быть необходимости, однако имейте в виду, что брандмауэр может предоставить больше функциональных возможностей, чем просто отказ от соединений через сетевые порты. Например, поведение DROP против REJECT.
Но зачем нам брандмауэр, если на всех портах нет программ, слушающих?
Если у вас однопользовательский рабочий стол , а не сервер, вам не нужен брандмауэр, если не запущена служба, как при установке Ubuntu по умолчанию.
В некоторых случаях Windows после подключения к сети запускала некоторые службы по умолчанию для обслуживания, обновлений, внутренней передачи сообщений и так далее. Вы не можете остановить их, не останавливая работу окон, но они уязвимы для внешних атак. Таким образом, пользователям Windows был нужен брандмауэр, и мем о том, что брандмауэр нужен всем, быстро распространялся.
Когда они встречались с людьми из Linux, которые часто были администраторами серверов, они не говорили «вам не нужен брандмауэр в Linux», но «у нас есть бесплатные брандмауэры, такие как iptables, в течение почти десятилетия».
Персональный межсетевой экран , сидя на системе он должен защищать, не лучшая идея либо.
desktop
не означает, что это не server
просто слова. У вас desktop
есть много того, servers
что потенциально может работать на нем, и, возможно, это уже есть.
t allow anything) on RedHat, start CUPS and see if you can connect to it from outside. Then look at
iptables-save`: Вуаля - порт CUPS открыт, но не отображается в графическом интерфейсе ...