是否需要配置 IP 表或獨立防火牆是否足夠?
我有兩台台式機和一台執行 Arch Linux 的筆記型電腦。我沒有在任何機器上設置任何 iptable 規則,我很好奇是否應該這樣做。
一個桌面只在我的家庭網路中使用,並受到廉價的有線調製解調器/路由器/防火牆的“保護”,基本上沒有配置和維護(我在獲得它時更改了預設密碼,並且在 3 年內沒有查看它)。桌面執行標準的家庭使用者應用程序(例如,網路瀏覽和 Skype)以及 SSH 伺服器。據我所知,防火牆預設配置會阻止所有傳入連接,因為我只能從家庭網路中連接到 SSH 伺服器。
另一個桌面在我大學的防火牆後面。它更寬鬆(我可以從校外通過 SSH 連接到機器)並且希望得到更好的維護。除了 SSH 伺服器之外,這台機器除了網頁瀏覽和 Skype 之外,不做任何與網路相關的事情。
膝上型電腦用於家庭防火牆、大學防火牆之後,有時還用於不安全的公共無線和有線網路(例如,酒店和咖啡店)。
是否值得配置 IP 表,如果需要,配置是否應該在機器之間有所不同?可能相關,是否值得設置一個單獨的獨立防火牆來保護我的家庭網路?
是否使用
iptables
最終取決於您。您必須查看它的能力以及您希望它做什麼。在非常高的水平上,iptables
可以很好地做 3 件事:
- 過濾入站網路流量
- 過濾出站網路流量
- 記錄流量
通常,
iptables
在住宅路由器後面的系統上不需要進行配置,因為這種路由器預設應該阻止入站數據包。如果您決定向 Internet 公開服務(例如 ssh)並將路由器上的埠轉發到網路中的 ssh 伺服器,那麼使用iptables
變得更加相關。它可用於根據源或目標 ip/網路塊過濾流量,控制系統響應不需要的流量的 icmp 錯誤,甚至記錄發送給任何人的每個數據包。問題真的是:
- 您的電腦上是否有任何您不希望其他人與之互動的服務?
- 是否有任何您不希望網路中的人能夠連接到的外部服務?
- 你想做多少日誌記錄?
附加資訊:
man iptables
搜尋拒絕
實際上,您問的是幾個不同的問題。以下是您提出的問題和需要解決的問題:
- 可能連接到其他網路的筆記型電腦,而不僅僅是你的房子或大學,可能是咖啡店、奶奶家或遙遠的酒店;你真的需要執行一個內部防火牆。如果是 LINUX/UNIX,那麼 iptables 是一個不錯的選擇。您將需要適用於 Microsoft 的 Windows Defender 等。否則,無論您在家中還是在大學裡,您的設備在未經過全面審查和保護的網路上總是容易受到攻擊。
2)桌面(根據定義)不會從 LAN 跳到 LAN,它們是靜態的。但是,由於您已經引入等式,即您的內部 LAN 設備可能會受到移動設備(例如筆記型電腦)的威脅,而移動設備(例如筆記型電腦)反過來可能在這些外部網路上暴露,您提出了一個很好的論據,說明為什麼您還需要在您的桌面上執行 iptables。一種“特洛伊木馬”,您的筆記型電腦或任何移動設備都可能被感染,並在防火牆後面使用您的本地 LAN 來感染您的其他設備。
3)最後,我們經常忘記我們家或大學裡防火牆後面的其他(非移動)設備。例如,中國軍隊非常擅長感染網路列印機。這些列印機沒有內部防火牆功能並且通常可以訪問,因為即插即用網路軟體實際上會在本地路由器上放置防火牆,以允許設備通過埠 170、515、631 和/或 9100 等通用列印機埠連接,具體取決於生產廠家。如今,冰箱、煙霧報警器、電視機,應有盡有——它們都是聯網的,通常是無線的,並且在您的本地 LAN 上。因此,您認為您的 LAN 受到防火牆和一兩台設備上的一些防病毒軟體的保護,
這三個場景確實表明您絕對需要執行 iptables。而且,提前知道這一點,如果台式機或筆記型電腦受到損害,而本來/可以/應該被阻止,那將是真正的“痛苦”。