Uma regra de iptables de entrada em ddwrt na porta 443 quebra https?

0

Eu quero executar um serviço de repetidor vnc no roteador ddwrt da minha casa. Devido à possibilidade de amigos / família pedirem suporte em ambientes de rede desconhecidos, eu gostaria que o aplicativo repetidor do host fosse executado no 443 (muito raramente bloqueado), então estou pensando que posso aplicar esta regra de tabelas ip. / p>

iptables -I INPUT -p tcp -m tcp --dport 443 -j logaccept

Estou preocupado, porém, com essa confusão do tráfego em resposta ao tráfego de saída? Por exemplo, digamos que me conecto à minha conta bancária em https. Os pacotes de retorno que estou procurando serão direcionados para o meu roteador em vez do meu computador? Eu nunca tive certeza, porque, embora seja em resposta a um pedido, ainda é tecnicamente o tráfego INBOUND.

Além disso, estou ciente de que isso me abriria para varreduras de portas, mas como eu não estaria executando o protocolo esperado no 443, seria (relativamente) seguro abrir 443 para o resto do mundo? Não consigo imaginar alguém tentando adivinhar aleatoriamente que eu estaria executando um repetidor uvnc específico e sabendo como explorar qualquer ponto fraco que possa ter.

Obrigado

    
por Sidney 21.09.2014 / 01:33

1 resposta

1

Não, o tráfego de saída não será afetado.

Devido à maioria dos roteadores que usam NAT de destino (em oposição a NAT de origem ou NAT bidirecional), solicitações de sua rede recebem automaticamente um número de porta alto, que é usado para mapeamento de conexão reversa - consulte Wikipedia para obter mais detalhes sobre o NAT em geral e esta pergunta do StackOverflow sobre como a porta de retorno é calculada.

As únicas exceções que eu conheço são um daemon NTP do Linux (existem vários e não me lembro qual).

Quanto ao aspecto de segurança, a porta 443 é uma das portas mais comuns verificadas, e você deve esperar algumas tentativas de exploração. Eu aconselho que você coloque algumas medidas de segurança no local (autenticação básica, por exemplo). Eu costumava executar meu próprio servidor Git por SSH em casa e acabava recebendo centenas de tentativas de conexão por dia de scanners de força bruta.

    
por 21.09.2014 / 02:22