Разблокировка всех портов в маршрутизаторе при использовании Linux

Я слышал, что открытые порты Linux не очень уязвимы, поэтому для нормальной установки на настольном компьютере Linux не нужен брандмауэр. Тем не менее мой маршрутизатор (Dlink) блокирует некоторые порты, даже в локальной сети.

Было бы плохой идеей разблокировать все порты в моем маршрутизаторе?

2 Solutions collect form web for “Разблокировка всех портов в маршрутизаторе при использовании Linux”

Да, это очень плохая идея, правда, что Linux более безопасен, чем другие ОС, но ничего не на 100% безопаснее.

Например, во многих дистрибутивах Linux по умолчанию используется sshd, если вы разрешаете подключения из Интернета к этому порту (по умолчанию 22), хакер или червь могут атаковать грубой силой и получить доступ к вашему Linux.

Было бы плохой идеей разблокировать все порты в моем маршрутизаторе?

Да.

ТЛ; др

Я бы не подумал об открытии портов на маршрутизаторе, который не служил законной цели в моей сети, и даже тогда мне захочется фильтровать трафик на этих портах.

аргументация

Для целей обсуждения «порты» обычно не содержат уязвимости, а скорее то, что служба или приложение прослушивает такой-то порт.

Соединения с портами являются работоспособными. У них есть источник и адрес назначения. Когда ваш брандмауэр блокирует порт, он не просто отключает этот порт, либо отключает «исходящие» или «входящие» соединения, и он учитывает состояние каждого соединения.

Что касается информации, которую вы слышали об открытых портах в Linux, то «открытые порты не очень уязвимы» учитывайте следующее:

Сценарий 1

Запретить все входящие, которые не установлены, разрешить все исходящие

У нас есть маршрутизатор, который блокирует все входящие подключения ко всем портам, которые еще не установлены разрешенным исходящим соединением. Если вы не инициируете соединение изнутри и не устанавливаете соединение, никто не может подключаться извне. Также представьте, что все исходящие соединения на всех портах открыты. Это безопасно?

Сценарий 2

Разрешить все входящие, Разрешить все исходящие

То же, что и выше, но маршрутизатор также допускает несанкционированные исходящие соединения на всех портах, также известную как «широкоформатная открытая» конфигурация. Это менее безопасно?

Сценарий 3

Запретить все входящие, Отфильтровать все исходящие

Отличается от сценария 1 только тем, что брандмауэр также настроен только на то, чтобы разрешать определенные исходящие подключения на определенных белых портах (то есть 443 , 80 , 22 ). Это более безопасно?

Вывод

Не учитывайте перевод сетевых адресов …

Если вы действительно не заботитесь о безопасности, я бы сказал, что сценарий 3 является единственным сценарием трех чрезмерно упрощенных сценариев выше, который удаленно безопасен. Явный белый список разрешенных исходящих подключений и явный whitelisting (или полное запрещение) входящих соединений.

Сценарий 2 просто ждет, когда кто-то найдет уязвимость для использования в любой службе или программе, которая прослушивает порт. Предоставленная nat конфигурация выходит за рамки этого ответа, и большинство маршрутизаторов не делают намного больше прослушивания, если не происходит nat ting.

Сценарий 1 выглядит более безопасным, чем ужасный сценарий 2, но, действительно, если есть какие-то вредоносные программы, которые развернуты из вашей сети, они могут мыслить через ваш брандмауэр и наносить всевозможные зло в вашей сети с помощью этой конфигурации. Cryptolocker Я смотрю на тебя. Этот тип конфигурации маршрутизатора является, безусловно, наиболее распространенным, но он лишь немного более безопасен, чем сценарий 2 (читайте не так много).

  • Получение услуги на виртуальной машине с приватным адресом
  • Сделать поле только общаться только на LAN?
  • Блок Fail2ban с IPtables не работает на Debian Lenny.
  • Как ограничить трафик P2P / torrent на маршрутизаторе OpenWrt 10.03?
  • Зачем нам нужен брандмауэр, если в ваших портах не работают программы?
  • как перечислить события заблокированных подключений через брандмауэр?
  • Как я могу отправить поддельные пакеты в Linux?
  • Брандмауэр AIX принимает установленное соединение
  • Interesting Posts

    Найдите определенные папки

    Правильный / эффективный / надежный способ импорта записей в файл журнала в базу данных MySQL?

    Перенести «Списки контактов» от Thunderbird до Evolution

    ImageMagick: изменение размера изображения без масштабирования

    не разрешить удалять каталог, но создавать в нем новые файлы?

    Без пароля ssh на archlinux (после того, как ssh-copy-id все еще запрашивает пароль)

    Почему мой жесткий диск выходит из космоса, если gparted говорит, что у меня есть 500 + GB

    Проверьте, нет ли часов на машинах, где я могу только отправлять задания

    netcat пропускная способность низкая, но iperf высокий

    Счет электронной почты в автономном режиме не соответствует настройкам Gmail

    «X-Windows не удалось запустить» после удаления iceweasel (apt-get purge iceweasel $$ apt-get autoremove)

    Изменение каталога установки по умолчанию?

    При применении команд к группам строк из stdin

    Проблема компиляции документации Binutils

    почему / dev / dsp исчез из SUSE

    Linux и Unix - лучшая ОС в мире.