Este firewall é completamente seguro?

4

Gostaria de saber se há falhas / falhas nesta configuração do firewall. Eu quero bloquear o servidor, tanto quanto possível, por isso é impossível invadir. Os únicos serviços em execução são o openvpn e o ssh.

#!/bin/sh
#
# iptables example configuration script
#
# Flush all current rules from iptables
#
iptables -F

#
# Set default policies for INPUT, FORWARD and OUTPUT chains
#
iptables -P INPUT DROP                
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#
# Allow SSH connections on tcp port 8888 
#
iptables -A INPUT -i venet0 -p tcp --dport 8888 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 8888 -m state --state ESTABLISHED -j ACCEPT

#
# Set access for localhost
#
iptables -A INPUT -i lo -j ACCEPT

#
# Accept connections on 1194 for vpn access from client
#
iptables -A INPUT -i venet0 -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p udp --sport 1194 -m state --state ESTABLISHED -j ACCEPT

#
# Apply forwarding for OpenVPN Tunneling
#
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT     
iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to-source 69.147.244.199   
iptables -A FORWARD -j REJECT

#
# Enable forwarding
# 
echo 1 > /proc/sys/net/ipv4/ip_forward

#
# List rules
#
iptables -L -v
    
por pizzahutIsnice 28.04.2011 / 09:49

2 respostas

3

Não. Nenhum firewall é completamente seguro. Enquanto houver uma única porta aberta, você estará vulnerável a ataques.

É, no entanto, tão seguro quanto você pode fazê-lo, dadas as circunstâncias.

É bom ver que você está executando o SSH em uma porta diferente do padrão.

Se o computador estiver conectado à Internet, ele não poderá ser 100% não hackável. Se houver uma falha no OpenVPN ou no SSH, um invasor ainda poderá obter acesso por esses meios. E o firewall é tão strong quanto as senhas usadas nos protocolos que você passa por esse firewall.

Certifique-se de ter senhas realmente strongs. Melhor ainda - não confie apenas em senhas, mas confie em uma combinação de senha e chave, portanto, se alguém obtiver sua senha, não será muito útil. E talvez restrinja onde você está permitindo que as conexões para SSH e OpenVPN venham - pare todas as conexões de lugares como China, Coréia do Norte, etc.

    
por 28.04.2011 / 10:57
0

Você pode querer restringir os intervalos de ip, a partir dos quais você pode acessar o ssh (e talvez o openvpn). Certifique-se de adicionar pelo menos um intervalo, onde você sabe que terá acesso mesmo quando o seu provedor alterna a sub-rede da qual seu ip vem. Se você tiver outro servidor, adicione seu ip. Você pode até mesmo considerar apenas permitir o ssh de um host de salto.

    
por 12.01.2015 / 19:49