Czy warto blokować przychodzące pakiety z punktu widzenia bezpieczeństwa?

Jeśli zablokuję wszystkie wychodzące pakiety za pomocą iptables, to teoretycznie mój system jest bezpieczny, ponieważ przychodzące pakiety nie będą w stanie uruchomić kradzieży danych. Jednak te przychodzące pakiety mogą nadal wykorzystywać jakiś błąd i zadawać obrażenia lub omijać zasady wychodzące iptables.

Moje pytanie brzmi zatem, jaki jest najbardziej rozsądny, wygodny i bezpieczny sposób zarządzania przychodzącymi paczkami? Czy powinieneś blokować cały ruch przychodzący i zezwalać tylko na zaufane / potrzebne serwery, czy powinieneś pracować na czarnej liście? Innym przypuszczeniem byłoby to, że za każdym razem, gdy wysyłasz pakiet SYN do serwera, serwer ten jest automatycznie dodawany do białej listy, więc kiedy próbujesz połączyć się z witryną, automatycznie pozwala mu odpowiedzieć. Czy istnieje sposób na zrobienie czegoś takiego wygodnie?

Innym przypuszczeniem byłoby to, że za każdym razem, gdy wysyłasz pakiet SYN do serwera, serwer ten jest automatycznie dodawany do białej listy, więc kiedy próbujesz połączyć się z witryną, automatycznie pozwala mu odpowiedzieć. Czy istnieje sposób na zrobienie czegoś takiego wygodnie?

Tak już działa większość stanowych zapór ogniowych (np. Routery domowe, ponieważ jest to wymagane do wykonywania translacji NAT, ale jest również powszechne na serwerach).

W iptables odbywa się to za pośrednictwem conntrackmodułu lub jego uproszczonej statewersji. Oba przykłady są równoważne z nowoczesnymi jądrami (chociaż myślę, że -m state było to wymagane w 2.6.x dniach).

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Chociaż, moim skromnym zdaniem, należy również bezwarunkowo akceptować przynajmniej -p icmpi -p ipv6-icmp.

W pf utrzymywanie stanu jest domyślne dla passreguł (chyba że no stateokreślono).