Devo usar o recurso de encaminhamento de porta do meu firewall ou fazer com que os meus serviços escutem as portas alternativas?

0

Eu tenho um VPS com o qual eu executo meu próprio servidor de e-mail, que fica no meio da Internet, ao qual tenho acesso SSH. Meu meu registro mostra que estou recebendo 500 ou mais tentativas mal-sucedidas de conexões por dia e, portanto, gostaria de fechar a porta SSH padrão e abrir uma alternativa e gostaria de acessar meu serviço SMTP de uma porta adicional, pois meu ISP bloqueia a porta 25 .

O servidor é Debain Squeeze executando o Postfix e o OpenSSH e usando Shorewall como o firewall.

Assumindo que o acima é considerado boa prática (se não, por favor me avise sobre como eu deveria alcançar meus objetivos), devo usar o encaminhamento de porta no meu firewall ou ter os serviços executados em portas alternativas e abrir / bloquear as portas apropriadas usando o firewall? Especificamente, gostaria de saber por que um método é preferível ao outro.

    
por Hugh Powell 11.10.2011 / 02:06

3 respostas

0

Portas alternativas

Os serviços podem ser executados por vários motivos (bons e ruins). As boas razões típicas são:

  • executando o serviço em uma porta sem privilégios
  • contornando a inconveniente filtragem de portas
  • modificação de serviço de modo que não tenha comportamento típico

Port Forwarding

O encaminhamento de porta geralmente é feito como uma medida de segurança na qual a filtragem de portas não é (ou pelo menos não deveria ser). A filtragem de portas também é geralmente executada com um firewall separado do serviço, geralmente fazendo com que o firewall seja executado em um servidor separado. Isso ajuda a conter (limitar) algumas das possíveis vulnerabilidades da execução do serviço. Razões para a filtragem de portas:

  • segurança
  • separação de serviço / servidor
por 11.10.2011 / 06:22
0

Eu mudaria as portas nos próprios serviços.

Para o sshd, isso é fácil, apenas modifique o / etc / ssh / sshd_config e altere a diretiva Port . Verifique se você tem uma maneira alternativa de entrar, caso algo dê errado.

Para o postfix, dependendo da sua situação, você provavelmente desejará ativar uma porta adicional para escutar ao invés de substituir a porta 25 (como o servidor de entrada para o servidor irá parar se você não tiver 25 abertos). Edite master.cf e procure a linha smtpd e adicione uma linha adicional para a porta que você deseja escutar (2525 neste exemplo):

  25      inet  n     -     n     -     -     smtpd
2525      inet  n     -     n     -     -     smtpd

Além disso, considere mudar para um ISP que não bloqueia portas sem a possibilidade de desativação.

A principal vantagem de fazê-lo desta forma é a redução da complexidade - você quer que essas portas sejam ouvidas pelos serviços, e a introdução de outro componente (iptables) para fazer isso para você aumenta a complexidade. Eu diria que manter as coisas simples está no topo da lista ao tomar esses tipos de decisão.

    
por 11.10.2011 / 03:31
0

Eu tenderia a sugerir a mudança de portas no firewall em vez dos serviços - se você optar por mudar outras portas, ou servidores, você só precisaria migrar a regra de firewall em vez de perseguir meia dúzia de portas diferentes. configurações.

    
por 11.10.2011 / 06:36