Задать вопрос
SkazochNik
@SkazochNik
linux

Ограничение доступа на уровне файервола или сервиса?

Представим себе сервер на современном linux с кучей сетевых интерфейсов. Часть интерфейсов глядит в интернет, другая часть только в локальную сеть (где сидят бородатые админы и наполнители сайтов).
Наша задача сделать apache/ftp и прочее рабочим с интернета, всякие ssh/samba и прочие — с локальной сети.

Вариант 1:
Открываем сервисы на все интерфейсы и разграничиваем доступ через какой-нибудь iptables/ipfw или что там сейчас модно.

Вариант 2:
На какой интерфейс вешать сервис решаем настройками самого сервиса.

Интересует какой вариант безопасней, какой лучше в плане быстродействия и как потом с этим жить?
  • Вопрос задан
  • 2937 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 2
@sonik_spb
Странный вопрос =)
В плане быстродействия:
Если вы будете ограничивать фаерволом, то на него пойдёт нагрузка (мизер скорее всего)
Если ограничить настройками софта, то фаерволу работать не придётся.

В плане безопасности:
Фаерволом должно быть зарезано всё, что не разрешено явно. И всё =)

Стоит наверно настроить сервисы по интерфейсам и не забывать про фаервол.
Ответ написан
2 комментария
2 комментария
@larrabee
А исходящие порты выше 1024 открывать все равно придётся.

Зачем? 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

И будут открыты только порты для соединений, открытых сервером.
Так-же лучше резать файрволлом все ненужное и критичные сервисы, в которых могут быть ошибки заставлять не слушать публичные интерфейсы.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
А что мешает сочетать-то ) ?
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C для Embedded Linux
Radiofid Санкт-Петербург
от 120 000 до 180 000 ₽
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать 3 раздела ВКР
25 апр. 2024, в 14:44
10000 руб./за проект
Создание теста в Postman
25 апр. 2024, в 14:44
250 руб./в час
Учебный проект - бронирование отелей, FastAPI, SQLA + HTML, CSS, JS
25 апр. 2024, в 14:41
5000 руб./за проект
Ещё заказы