iptables, что действительно открыто?

У нас есть устройство RSA, я рассмотрел правила брандмауэра на этом устройстве, чтобы определить, какие порты включены. Для меня это выглядит широко раскрытым; но продавец заявляет, что я ошибаюсь в этом, что я не читаю его правильно. Я не могу опубликовать все iptables по соображениям безопасности, но вот что говорит продавец:

Поверьте мне, он заперт. Я не могу обучить любого клиента на iptables, но вы можете ссылаться на документацию iptables онлайн, чтобы лучше понять, как настраивается каждое правило, например http://www.howtogeek.com/177621/the-beginners-guide-to-iptables-the-linux- брандмауэр/

Пример ниже, это политика DROP, а не политика allow, обратите внимание на это, а не на чтение ACCEPT, и подумайте, что он открыт.

Цепь INPUT (политика DROP) target prot opt ​​source
пункт назначения ACCEPT – везде где угодно

Позже они сказали

  1. все порты открыты?

Нет. Iptables не похож на файл конфигурации pam, где первое правило удовлетворяет процедуре. В iptables все правила должны быть выполнены. Если бы не было ACCEPT нигде, ничего не получилось бы через брандмауэр.

Для меня это не имеет смысла. Пример начинается с accept any any any и политика падает. Из того, что я читал в Интернете, падение политики просто отключает его по умолчанию вместо того, чтобы принимать по умолчанию. Я не понимаю, как изменить пример для политики или принять решение, чтобы изменить результат.

Что мне не хватает?

  • VPN-клиент и IP-таблицы
  • Проверка маршрутизации трафика VPN
  • Временно игнорировать / обходить настройки прокси с помощью iptables, когда WFH
  • Недоступен IP-адрес
  • Отбрасывание пакетов перед изменением POSTROUTING
  • Правила iptables слишком ограничительны; Веб-сервер Drupal не может получить доступ к репозиториям, ntp или даже веб-сайтам
  • Почему правила iptables исчезают при перезагрузке моей системы Debian?
  • Локальный порт недоступен с открытым IP-адресом
  • One Solution collect form web for “iptables, что действительно открыто?”

    Iptables не похож на файл конфигурации pam, где первое правило удовлетворяет процедуре. В iptables все правила должны быть выполнены.

    Это совершенно неправильно. Правила пересекаются по порядку, и когда правило, которое соответствует переходу на одну из встроенных целей ( ACCEPT , DROP или QUEUE ), завершается обработка пакета: больше не проходит никаких правил. Более позднее утверждение о том, что «если бы не было ACCEPT во всем, ничто не могло бы пройти через брандмауэр», это правда (с политикой DROP), но пакет не должен соответствовать всем правилам ACCEPT, чтобы быть правдой, он должен достичь один.

    Возможно, пакет обрабатывается несколькими правилами соответствия, так как могут существовать правила, которые переходят на определенные пользователем цепочки (в этом случае правила в цепочке проверяются по порядку), или это вообще не скачкообразно и является присутствуют только по какой-либо другой причине, например, при регистрации. Но как только ACCEPT или DROP будут достигнуты, вот и все, пакет отправляется или отбрасывается; если QUEUE достигнуто, пакет передается в пользовательскую область для дальнейшей обработки; и в любом случае больше не обрабатываются правила для этого пакета. Наконец, если (и только если) обработка достигает конца встроенной цепочки, применяется политика цепочки.

    Например, предположим, что iptables -L показывает

     Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere 

    Поскольку политика DROP , только пакеты, явно принятые некоторым правилом, пройдут через. Одно правило выглядит так, как будто оно принимает все, но это не обязательно так: могут быть условия, которые iptables -L опускает. Запустите iptables -vL чтобы распечатать все условия. Общим пропущенным условием является интерфейс; наличие правила, которое принимает весь цикл loopback, довольно распространено. Вы увидите что-то вроде

     # iptables -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere # iptables -vL INPUT Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo any anywhere anywhere 

    Если правило приняло весь трафик, вы увидите его in столбце из iptables -vL INPUT .

    Linux и Unix - лучшая ОС в мире.