Czy powinienem korzystać z funkcji przekazywania portów zapory ogniowej lub czy moje usługi mogą nasłuchiwać na alternatywnych portach?

Mam VPS, za pomocą którego uruchamiam swój własny serwer poczty elektronicznej w eterze Internetu, do którego mam dostęp SSH. Moje logowanie pokazuje, że otrzymuję 500 nieudanych prób połączenia dziennie, dlatego chciałbym zamknąć domyślny port SSH i otworzyć alternatywę i chciałbym uzyskać dostęp do mojej usługi SMTP z dodatkowego portu, ponieważ mój dostawca ISP blokuje port 25 .

Serwer to Debain Squeeze z Postfixem i OpenSSH oraz Shorewall jako firewall.

Zakładając, że powyższe jest uważane za dobrą praktykę (jeśli nie, proszę poinformuj mnie o tym, jak powinienem osiągnąć moje cele), czy powinienem używać przekierowania portów na mojej zaporze lub czy usługi działają na alternatywnych portach i czy otwierają / blokują odpowiednie porty za pomocą zapory? W szczególności chciałbym wiedzieć, dlaczego jedna metoda jest preferowana nad drugą.

Alternatywne porty

Usługi mogą być uruchamiane z wielu powodów (zarówno dobrych, jak i złych). Typowe dobre powody to:

• uruchomienie usługi na porcie nieuprzywilejowanym
• obejście niewygodnego filtrowania portów
• modyfikacja usługi, która nie ma typowego zachowania

Przekazywanie portów

Przekazywanie portów jest zwykle wykonywane jako środek bezpieczeństwa, gdzie filtrowanie portów nie jest (lub przynajmniej nie powinno być). Filtrowanie portów jest również generalnie uruchamiane z zaporą oddzieloną od usługi, zazwyczaj przez uruchomienie zapory na oddzielnym serwerze. Pomaga to w ograniczeniu (ograniczeniu) niektórych możliwych luk w uruchamianiu usługi. Powody filtrowania portów:

• bezpieczeństwo
• separacja usług / serwerów

Zmieniłbym porty w samych usługach.

Dla sshd jest to łatwe, wystarczy zmodyfikować / etc / ssh / sshd_config i zmienić Port dyrektywa. Upewnij się, że masz alternatywny sposób wejścia na wypadek, gdyby coś poszło nie tak.

W przypadku postfiksu, w zależności od sytuacji, prawdopodobnie będziesz chciał włączyć dodatkowy port do nasłuchiwania, zamiast zastępować port 25 (ponieważ serwer przychodzący na serwer będzie zatrzymywał się, jeśli nie masz 25 otwartych). Edytuj master.cf i poszukaj smtpd wiersz i dodaj dodatkową linię dla portu, na którym chcesz nasłuchiwać (w tym przykładzie 2525):

  25      inet  n     -     n     -     -     smtpd
2525      inet  n     -     n     -     -     smtpd

Rozważ także zmianę na dostawcę usług internetowych, który nie blokuje portów bez możliwości rezygnacji.

Główną zaletą tego sposobu jest zmniejszenie złożoności - chcesz, aby te porty były nasłuchiwane przez usługi, a wprowadzenie kolejnego komponentu (iptables), aby to zrobić, zwiększa złożoność. Powiedziałbym, że utrzymywanie prostych rzeczy jest wysoko na liście w podejmowaniu tego rodzaju decyzji.

Sugerowałbym raczej zmianę portów w zaporze niż w usługach - jeśli zdecydujesz się na przełączanie innych portów lub serwerów, musisz jedynie migrować regułę zapory, zamiast ścigać pół tuzina różnych konfiguracji.