Preciso de iptables se apenas duas portas estiverem abertas ao público?

Question

Preciso de iptables se apenas duas portas estiverem abertas ao público?

#1 resposta do dr01 (3 votos)
#2 resposta do Wiffzack (0 votos)
#3 resposta do Thomas Ward (0 votos)

0

Para uma tarefa especial, tenho um servidor raiz executando o Linux Ubuntu 14.04. O servidor tem uma instalação muito minimalista com o ssh em uma porta não padrão e sem acesso root.

Basicamente, o objetivo principal dos servidores é coletar e processar grandes quantidades de dados provenientes de vários clientes. Existe apenas um único aplicativo com um ouvinte TCP que manipula as solicitações do cliente.

No ano passado eu usei o iptables e notei em meus logs muitos ataques ICMP, DoS e DDoS para o endereço IP dos meus servidores. Alguns desses ataques causaram muito tráfego indesejado. Eu posso ver isso nos relatórios de tráfego que recebo do meu provedor de hospedagem. Em um caso, devido ao tráfego incomum, meu ISP bloqueou o acesso ao meu servidor.

Como eu não sabia como resolver o problema, eu desativava temporariamente o iptables e, para minha grande surpresa, minhas estatísticas de tráfego voltaram ao normal! Agora estou me perguntando o que estava errado? É ainda melhor não ter nenhum iptables instalado, porque eu tenho apenas 2 portas abertas para a Internet? Como o iptables pode contribuir para a proteção do meu servidor neste caso?

por Shy Robbiani 02.01.2016 / 18:37

3 respostas

Uso normal de RAM do Ubuntu 14.04 LTS (versão do servidor)? [fechadas] Qual é a diferença entre os arquivos .tar [duplicados]?

score 3 · Answer 1

O Iptables é um firewall que permite manter aberta a porta não padrão n para acesso SSH e bloquear qualquer tentativa de conexão em qualquer outra porta. Se você desativar o iptables, será possível que invasores tentem uma exploração em qualquer outra porta e, possivelmente, façam algo mal-intencionado com seu servidor (devido a um serviço que você esqueceu de parar, um bug ou algo semelhante). Então, sim, você deve mantê-lo e configurado para abrir somente as portas que você precisa.

Não há correlação entre os ataques que param e você desativa o iptables - foi puramente por acaso. Ou isso, ou talvez o iptables tenha sido configurado incorretamente.

score 0 · Answer 2

Parece que o iptables foi configurado incorretamente.

Muitos sites na internet mostram regras do iptables que restringem o ICMP de forma muito strong ou total. Apenas no exemplo do ICMP, que tem uma reputação aparentemente muito ruim. Tente adaptar suas regras aos requisitos de rede, mesmo que leve algum tempo.

score 0 · Answer 3

Vamos primeiro olhar para um dos seus comentários:

% bl0ck_qu0te%

Primeiro a abordar: DDoS. Não há nada que você possa fazer no nível do servidor / firewall para proteger contra um DDoS. Eles são projetados para direcionar e sobrecarregar todo o seu canal de rede, e apenas os ISPs, na verdade, têm métodos para "filtrar" os DDoSes. Na maioria das vezes você tem que pagar por isso (e 99% das conexões de classe residencial não têm a opção).

Em segundo lugar, ICMP e DoS. O ICMP é um tipo de pacote muito comum; não é necessariamente um ataque, pois a maioria do seu tráfego padrão também interpreta os pacotes ICMP. Provavelmente você está procurando ratelimit estes, em vez de bloquear completamente eles. O DoS é semelhante, mas vai atacar o seu software específico no seu sistema / servidor para explorá-lo e travá-lo.

Agora, para saber se iptables está com defeito. Certamente não é. Não gera nenhum tráfego que você indicou; quando configurado, ele irá informar sobre o tráfego via log e depois soltar as regras, mas em última análise, não estará gerando esse tráfego.

iptables é um firewall - não é uma solução abrangente para proteger seu servidor ou rede contra ataques. Ele é projetado para permitir que você tenha algum nível de controle sobre o que pode ou não se conectar ao seu servidor, o que você deseja bloquear automaticamente dado determinado critério, o que você deseja bloquear, etc. Ele não protege contra DoS e certamente não DDoS.

iptables sendo ativado ou desativado não alterará o tráfego em direção à sua rede. O que você está vendo é mais ou menos uma coincidência, porque alguém está tentando acessar seu servidor e está apenas tentando novamente de qualquer maneira quando eles falharem. Provavelmente, o seu ISP não está bloqueando as conexões com base nas regras iptables , e provavelmente, em vez disso, será descartado com base no tráfego de entrada para o sistema; isso é algo que você teria que conversar com o ISP.