Задать вопрос
SkazochNik
@SkazochNik

Ограничение доступа на уровне файервола или сервиса?

Представим себе сервер на современном linux с кучей сетевых интерфейсов. Часть интерфейсов глядит в интернет, другая часть только в локальную сеть (где сидят бородатые админы и наполнители сайтов).
Наша задача сделать apache/ftp и прочее рабочим с интернета, всякие ssh/samba и прочие — с локальной сети.

Вариант 1:
Открываем сервисы на все интерфейсы и разграничиваем доступ через какой-нибудь iptables/ipfw или что там сейчас модно.

Вариант 2:
На какой интерфейс вешать сервис решаем настройками самого сервиса.

Интересует какой вариант безопасней, какой лучше в плане быстродействия и как потом с этим жить?
  • Вопрос задан
  • 2937 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 2
@sonik_spb
Странный вопрос =)
В плане быстродействия:
Если вы будете ограничивать фаерволом, то на него пойдёт нагрузка (мизер скорее всего)
Если ограничить настройками софта, то фаерволу работать не придётся.

В плане безопасности:
Фаерволом должно быть зарезано всё, что не разрешено явно. И всё =)

Стоит наверно настроить сервисы по интерфейсам и не забывать про фаервол.
Ответ написан
@larrabee
А исходящие порты выше 1024 открывать все равно придётся.

Зачем?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

И будут открыты только порты для соединений, открытых сервером.
Так-же лучше резать файрволлом все ненужное и критичные сервисы, в которых могут быть ошибки заставлять не слушать публичные интерфейсы.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
А что мешает сочетать-то ) ?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы