可能的重复:
为什么我要防火墙服务器?
我有一个带有 WEB + FTP 的小型服务器。我检查了端口,只打开了 80 + 21。
那么,现在的问题是,我真的需要 iptables 吗?这两个端口必须向所有人开放,其他端口已经关闭。我不认为一个人可以在没有 root 控制的情况下打开端口(从服务器外部)。那么,iptables 对我有用吗?
cor*_*ump 10
如果我理解您的问题,那么您没有任何iptables规则,并询问您是否真的需要它,如果您拥有的唯一开放端口是来自活动运行服务的端口,是否正确?
简短回答:是的iptables,您的服务器上应该有一个工作规则集,即使唯一开放的端口是您想要在那里运行的服务。还要记住维护规则并添加/删除从服务器添加或删除的服务。
冗长、示例性的回答:理论上您不需要它,但安全性是让攻击者的生活更加艰难。假设您的网络服务器有一个带有错误的脚本,并且有人利用该错误并注入远程 shell 服务器(即使是简单的netcat也可以)。如果服务器的前端没有防火墙或本地阻止连接,攻击者将能够连接到该被利用的外壳。如果您添加正确且有效的iptables规则,攻击者将无法连接(因为iptables阻止了任何不在您允许的端口上的流量)。
即使你的服务器前面有防火墙,一个基本的 iptables 脚本也是一个很好的做法,正如我所说,你的工作是添加安全层(纵深防御),所以如果一层失败,其他层仍然可以延迟攻击。