linux 服务器有必要开启 iptables 防火墙么

2014-03-16 22:37:20 +08:00
 lfzyx
也就apache服务运行在80端口,ssh服务运行在22端口,有必要开启iptables防火墙么?

netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 5749599 - /var/run/mysqld/mysqld.sock
7484 次点击
所在节点    Linux
28 条回复
lfzyx
2014-03-16 22:51:13 +08:00
开启防火墙的意义到底是什么
humiaozuzu
2014-03-16 22:55:21 +08:00
从来不开 iptable/ufw or fail2ban
ssh 改了端口,禁root,公钥认证足够了
zjgsamuel
2014-03-16 22:55:59 +08:00
等你受到攻击的时候你就知道了,自己做测试用的服务器无所谓,要是放到公网上的建议还是开启吧!
lfzyx
2014-03-16 22:58:38 +08:00
@zjgsamuel 我不开防火墙,服务器上开放的也就是这两个端口,我开了防火墙,这两个端口还是要放行,那有何意义呢
likuku
2014-03-16 23:07:57 +08:00
@lfzyx 记得 iptables 还可以限制某端口被某单一ip访问的每秒包速率...
halfbloodrock
2014-03-16 23:23:42 +08:00
比如22端口 你可以用-s指定IP或者网段才能登录,这样避免22暴露在外。
hncqp
2014-03-16 23:30:53 +08:00
如果你打算裸奔的话
blacktulip
2014-03-17 00:01:24 +08:00
生产服务器还是得装的
thinkxen
2014-03-17 00:05:25 +08:00
iptables很有意思的,可以玩出很多东西,不过一般问题不大了
cevincheung
2014-03-17 00:09:40 +08:00
感觉还是ubuntu的ufw好点。坐等新版的systemd以后的iptables
XXOO
2014-03-17 00:17:55 +08:00
ufw不错的说.
lyragosa
2014-03-17 00:22:40 +08:00
v友们有用csf的么
niseter
2014-03-17 08:02:35 +08:00
如果边缘服务器有防火墙便无所谓,但是如果裸奔被攻击就跟DT了
raincious
2014-03-17 08:52:01 +08:00
ufw其实就是iptables吧?

其实装不装关键还是看是不是内网。如果是内网安全要求没那么高的服务器,也可以选择不装。

反正我是必装,然后开必要端口。

没事留可能的漏洞这是有多无聊才能做出来。
hannnnn
2014-03-17 09:00:19 +08:00
@lyragosa csf +1 5分钟就配置好了
@ifzyx 阻止端口扫描、 限制ip连接数、ip黑白名单等等
把某功能限制在ssh+公钥才能登录来提高安全性
pirex
2014-03-17 10:14:57 +08:00
ssh改端口+root动态密码认证
nine
2014-03-17 10:31:11 +08:00
曾经有个十几年it经验的人也跟我说开防火墙没啥意义。。

防火墙的意义在于防止渗透提权。

举个栗子
你的服务器上安装有服务A/1234端口 和服务B/7777端口 C/10010端口 D/12580端口
A被爆了一个漏洞,可以被提权,但是权限有限不能乱搞,不过这个权限只可以用来访问服务B和D

此时服务B也有一个漏洞这个漏洞比较大,很危险,比如传输敏感数据或是发送arp,于是你就被攻破了。
但是如果这个时候你开了iptables,7777端口是只允许内网访问的,那么他即使提到权,也是没有用的。
wwek
2014-03-17 10:52:13 +08:00
需要开启防火墙不.
防火墙配置如何.
这个看需求!
wwek
2014-03-17 11:09:14 +08:00
@cevincheung 内核都是 filter 啊. ufw 和iptables 只是实现
wwek
2014-03-17 11:09:57 +08:00
楼主你这个.如果没有需要限定访问ssh ip的就没必要开启防火墙`

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/104592

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX