Задать вопрос
SkazochNik
@SkazochNik
linux

Ограничение доступа на уровне файервола или сервиса?

Представим себе сервер на современном linux с кучей сетевых интерфейсов. Часть интерфейсов глядит в интернет, другая часть только в локальную сеть (где сидят бородатые админы и наполнители сайтов).
Наша задача сделать apache/ftp и прочее рабочим с интернета, всякие ssh/samba и прочие — с локальной сети.

Вариант 1:
Открываем сервисы на все интерфейсы и разграничиваем доступ через какой-нибудь iptables/ipfw или что там сейчас модно.

Вариант 2:
На какой интерфейс вешать сервис решаем настройками самого сервиса.

Интересует какой вариант безопасней, какой лучше в плане быстродействия и как потом с этим жить?
  • Вопрос задан
  • 2937 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 2
@sonik_spb
Странный вопрос =)
В плане быстродействия:
Если вы будете ограничивать фаерволом, то на него пойдёт нагрузка (мизер скорее всего)
Если ограничить настройками софта, то фаерволу работать не придётся.

В плане безопасности:
Фаерволом должно быть зарезано всё, что не разрешено явно. И всё =)

Стоит наверно настроить сервисы по интерфейсам и не забывать про фаервол.
Ответ написан
2 комментария
2 комментария
@larrabee
А исходящие порты выше 1024 открывать все равно придётся.

Зачем? 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

И будут открыты только порты для соединений, открытых сервером.
Так-же лучше резать файрволлом все ненужное и критичные сервисы, в которых могут быть ошибки заставлять не слушать публичные интерфейсы.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
А что мешает сочетать-то ) ?
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Восстановить доступ к сайту на WordPress (вылечить trojan.inject)
25 нояб. 2024, в 21:02
30000 руб./за проект
Разобраться со скриптом на питоне
25 нояб. 2024, в 20:38
500 руб./за проект
Запустить сервер на питон
25 нояб. 2024, в 20:37
1000 руб./за проект
Ещё заказы