V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lfzyx
V2EX  ›  Linux

linux 服务器有必要开启 iptables 防火墙么

  •  1
     
  •   lfzyx ·
    lfzyx · 2014-03-16 22:37:20 +08:00 · 7449 次点击
    这是一个创建于 3940 天前的主题,其中的信息可能已经有所发展或是发生改变。
    也就apache服务运行在80端口,ssh服务运行在22端口,有必要开启iptables防火墙么?

    netstat -lnp
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
    tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
    tcp6 0 0 :::22 :::* LISTEN -
    Active UNIX domain sockets (only servers)
    Proto RefCnt Flags Type State I-Node PID/Program name Path
    unix 2 [ ACC ] STREAM LISTENING 5749599 - /var/run/mysqld/mysqld.sock
    28 条回复    1970-01-01 08:00:00 +08:00
    lfzyx
        1
    lfzyx  
    OP
       2014-03-16 22:51:13 +08:00
    开启防火墙的意义到底是什么
    humiaozuzu
        2
    humiaozuzu  
       2014-03-16 22:55:21 +08:00
    从来不开 iptable/ufw or fail2ban
    ssh 改了端口,禁root,公钥认证足够了
    zjgsamuel
        3
    zjgsamuel  
       2014-03-16 22:55:59 +08:00
    等你受到攻击的时候你就知道了,自己做测试用的服务器无所谓,要是放到公网上的建议还是开启吧!
    lfzyx
        4
    lfzyx  
    OP
       2014-03-16 22:58:38 +08:00
    @zjgsamuel 我不开防火墙,服务器上开放的也就是这两个端口,我开了防火墙,这两个端口还是要放行,那有何意义呢
    likuku
        5
    likuku  
       2014-03-16 23:07:57 +08:00
    @lfzyx 记得 iptables 还可以限制某端口被某单一ip访问的每秒包速率...
    halfbloodrock
        6
    halfbloodrock  
       2014-03-16 23:23:42 +08:00
    比如22端口 你可以用-s指定IP或者网段才能登录,这样避免22暴露在外。
    hncqp
        7
    hncqp  
       2014-03-16 23:30:53 +08:00 via iPhone
    如果你打算裸奔的话
    blacktulip
        8
    blacktulip  
       2014-03-17 00:01:24 +08:00 via iPhone
    生产服务器还是得装的
    thinkxen
        9
    thinkxen  
       2014-03-17 00:05:25 +08:00 via Android
    iptables很有意思的,可以玩出很多东西,不过一般问题不大了
    cevincheung
        10
    cevincheung  
       2014-03-17 00:09:40 +08:00
    感觉还是ubuntu的ufw好点。坐等新版的systemd以后的iptables
    XXOO
        11
    XXOO  
       2014-03-17 00:17:55 +08:00
    ufw不错的说.
    lyragosa
        12
    lyragosa  
       2014-03-17 00:22:40 +08:00
    v友们有用csf的么
    niseter
        13
    niseter  
       2014-03-17 08:02:35 +08:00 via Android
    如果边缘服务器有防火墙便无所谓,但是如果裸奔被攻击就跟DT了
    raincious
        14
    raincious  
       2014-03-17 08:52:01 +08:00   ❤️ 1
    ufw其实就是iptables吧?

    其实装不装关键还是看是不是内网。如果是内网安全要求没那么高的服务器,也可以选择不装。

    反正我是必装,然后开必要端口。

    没事留可能的漏洞这是有多无聊才能做出来。
    hannnnn
        15
    hannnnn  
       2014-03-17 09:00:19 +08:00 via Android
    @lyragosa csf +1 5分钟就配置好了
    @ifzyx 阻止端口扫描、 限制ip连接数、ip黑白名单等等
    把某功能限制在ssh+公钥才能登录来提高安全性
    pirex
        16
    pirex  
       2014-03-17 10:14:57 +08:00
    ssh改端口+root动态密码认证
    nine
        17
    nine  
       2014-03-17 10:31:11 +08:00   ❤️ 1
    曾经有个十几年it经验的人也跟我说开防火墙没啥意义。。

    防火墙的意义在于防止渗透提权。

    举个栗子
    你的服务器上安装有服务A/1234端口 和服务B/7777端口 C/10010端口 D/12580端口
    A被爆了一个漏洞,可以被提权,但是权限有限不能乱搞,不过这个权限只可以用来访问服务B和D

    此时服务B也有一个漏洞这个漏洞比较大,很危险,比如传输敏感数据或是发送arp,于是你就被攻破了。
    但是如果这个时候你开了iptables,7777端口是只允许内网访问的,那么他即使提到权,也是没有用的。
    wwek
        18
    wwek  
       2014-03-17 10:52:13 +08:00
    需要开启防火墙不.
    防火墙配置如何.
    这个看需求!
    wwek
        19
    wwek  
       2014-03-17 11:09:14 +08:00
    @cevincheung 内核都是 filter 啊. ufw 和iptables 只是实现
    wwek
        20
    wwek  
       2014-03-17 11:09:57 +08:00
    楼主你这个.如果没有需要限定访问ssh ip的就没必要开启防火墙`
    cloudzhou
        21
    cloudzhou  
       2014-03-17 17:17:11 +08:00
    必须开启,因为很多服务会开放端口,但是这个端口对外界是没有意思的,举个例子,如果你启用了 mysql,通过 3306 端口的,请问你要开放 3306 端口出去吗?
    sanddudu
        22
    sanddudu  
       2014-03-17 18:17:58 +08:00
    @cloudzhou 在添加数据库的时候可以直接限制只能通过本机连接
    这样即使暴露了你连连都连不上
    0x61
        23
    0x61  
       2014-03-17 18:25:20 +08:00
    我的vps啥安全措施都没用,前几天看日志有个孙子在穷举我的密码。
    wb14123
        24
    wb14123  
       2014-03-17 19:15:15 +08:00 via Android
    可以防止ip欺骗
    mfaner
        25
    mfaner  
       2014-03-17 21:14:33 +08:00
    @cloudzhou 参考楼主netstat输出:tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
    ovear
        26
    ovear  
       2014-03-17 21:32:38 +08:00
    呃。。。我想说iptables不仅仅是一个防火墙。。
    hiddenman
        27
    hiddenman  
       2014-03-18 16:08:18 +08:00
    开吧。。
    不开,你总会看到httpd日志中存在一些不可爱的IP
    lfzyx
        28
    lfzyx  
    OP
       2014-03-20 09:55:18 +08:00
    @mfaner 127.0.0.1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   973 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:05 · PVG 04:05 · LAX 12:05 · JFK 15:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.