Kiedy próbuję telnet do portu na serwerze i jeśli nie ma żadnego programu nasłuchującego na tym porcie, telnet umiera z błędem „Nie można się połączyć ...”. Rozumiem, że. Ale dlaczego potrzebujemy zapory ogniowej, jeśli żaden port nie nasłuchuje?
Kiedy próbuję telnet do portu na serwerze i jeśli nie ma żadnego programu nasłuchującego na tym porcie, telnet umiera z błędem „Nie można się połączyć ...”. Rozumiem, że. Ale dlaczego potrzebujemy zapory ogniowej, jeśli żaden port nie nasłuchuje?
Odpowiedzi:
W tej chwili może nie być uruchomiona usługa, ale co powiesz na jutro? Masz je wszystkie wyłączone, ale co z twoimi użytkownikami? Każdy w systemie unix / windows / mac może otworzyć port> 1024 na dowolnym komputerze, do którego ma dostęp. Co ze złośliwym oprogramowaniem? Co z wirusem? Mogą również otwierać porty i zacząć przekazywać informacje światu lub zacząć nasłuchiwać połączeń z sieci.
Głównym celem zapory nie jest blokowanie portów dla usług, o których wiesz, że są wyłączone, to blokowanie portów w usługach, o których możesz nie wiedzieć. Pomyśl o tym jako o domyślnej odmowie z tylko pewnymi dziurami dla autoryzowanych usług. Każdy użytkownik lub program uruchomiony przez użytkownika może uruchomić serwer w systemie, do którego ma dostęp, a zapora ogniowa uniemożliwia komuś połączenie z tą usługą.
Dobry administrator wie, jakie usługi powinny zostać ujawnione, i może je włączyć. Zapora ogniowa służy przede wszystkim zmniejszeniu ryzyka związanego z nieznanymi serwerami działającymi w systemie lub sieci, a także zarządzaniu dostępem do sieci z centralnego miejsca.
Ważne jest, aby wiedzieć, co działa na twoim komputerze / serwerze i włączyć tylko to, czego potrzebujesz, ale zapora zapewnia dodatkową ochronę przed rzeczami, o których nie wiesz.
hg serve
który uruchamia serwer WWW na twoim komputerze. Chodzi o to, że uruchomienie serwera na dowolnym komputerze jest banalne, niezależnie od tego, czy jest on używany jako „pulpit” czy „serwer”, nie ma znaczenia. A kiedy ten serwer zostanie uruchomiony, a ty nie wiesz o tym ... cóż, wtedy zaczyna się zabawa.
JEŻELI nie ma żadnego programu nasłuchującego na żadnym porcie, nie potrzebujesz firewalla, ale nie możesz również połączyć się z serwerem, ponieważ jest on „zapieczętowany” od reszty świata.
Z drugiej strony ... powiedzmy, że twój serwer nie ma lokalnego programu nasłuchującego na żadnym porcie, ale służy jako brama dla innych komputerów za nim. W takim przypadku używasz zapory do zarządzania maskaradowaniem (NAT) i opcjonalnie możesz filtrować niektóre rzeczy podczas przekazywania pakietów.
/etc/ssh/sshd_config
do zabezpieczenia komputera. PermitRootLogin
powinno być ustawione na Nie, powinieneś używać bezpiecznego hasła i utrzymywać maszynę w sudo (możesz używać sudo po zalogowaniu się na konto z uprawnieniami sudo). Ustawienie ograniczeń za pomocą zapory ogniowej jest po prostu niewłaściwym narzędziem do tego zadania. To samo dotyczy postgresql
bazy danych: Użyj konfiguracji bazy danych, aby ustawić i odwołać uprawnienia.
Ściśle mówiąc, może nie być to konieczne, należy jednak pamiętać, że zapora może zapewnić więcej funkcji niż po prostu odmawianie połączeń przez porty sieciowe. Na przykład zachowanie DROP kontra REJECT.
Ale dlaczego potrzebujemy zapory ogniowej, jeśli żaden port nie nasłuchuje?
Jeśli masz pulpit dla jednego użytkownika , a nie serwer, nie potrzebujesz zapory, jeśli nie ma uruchomionej usługi, jak w przypadku domyślnej instalacji Ubuntu.
Windows miał czasem, po tym, jak mógł nawiązać sieć, niektóre usługi działające domyślnie w celu konserwacji, aktualizacji, przekazywania wiadomości wewnętrznych i tak dalej. Nie można ich zatrzymać bez zatrzymania działania okien, ale są one narażone na ataki zewnętrzne. Użytkownicy systemu Windows potrzebowali zapory ogniowej, a mem, że wszyscy potrzebują zapory ogniowej, rozprzestrzeniał się szybko.
Kiedy spotkali ludzi z Linuksem, którzy często byli administratorami serwerów, nie powiedzieli „nie potrzebujesz firewalla na Linuksie”, ale „mamy darmowe zapory ogniowe, takie jak iptables od prawie dekady”.
Osobista zapora sieciowa , siedząc na system powinien ją chronić, nie jest najlepszym pomysłem.
desktop
nie oznacza, że nadal nie server
są to tylko słowa. Twoje desktop
ma wiele tego, servers
które potencjalnie mogłyby na nim działać, i prawdopodobnie już są.
t allow anything) on RedHat, start CUPS and see if you can connect to it from outside. Then look at
iptables-save`: Voila - port CUPS jest otwarty, nie pokazuje się w interfejsie ...