История изменений
Исправление kostik87, (текущая версия) :
Так, в iptables при написании правил обработки прохождения пакетов можно исходить из двух схема:
- политика, когда всё разрешено, а затем явно добавляются правила которые разрешают нужное и самым последним правило, которое всё закрывает или попросту только добавляется правило которое что-то закрывает;
- политика, когда всё запрещено, в этом случае добавляются правила, которые что-то разрешают.
Вот и строй исходя из этих двух направлений правила для пакетного фильтра.
значит ли это, что кто угодно туда вирусов нагонит?
Нагонит или не нагонит кто-то куда-то вирусни зависит от того есть ли в приложении, которое слушает какой-либо порт уязвимость, которую можно эксплуатировать для повышения своих привилегий в системе или попросту вывода системы из строя. Если ты уверен, что в твоей системе нет сервисов, которые потенциально имеют проблемы в безопасности, ошибки, которые могут позволить злоумышленнику получить контроль на твоей системой, то не закрывай ничего. Но мне думается, что систем, в которых нет проблем с безопасностью не существует, поэтому и закрывают по возможности всё, что не нужно для выполнения требуемого функционала.
Исходная версия kostik87, :
Так, в iptables при написании правил обработки прохождения пакетов можно исходить из двух схема:
- политика, когда всё разрешено, а затем явно добавляются правила которые разрешают нужное и самым последним правило, которое всё закрывает или попросту только добавляется правило которое что-то закрывает;
- политика, когда всё запрещено, в этом случае добавляются правила, которые что-то разрешают.
Вот и строй исходя из этих двух направлений правила для пакетного фильтра.