>应为http请求和SSH登录打开端口80和22
>由于我的应用服务器将在端口8080上的非root用户下运行.我想将所有数据包重定向到端口8080.在某些情况下,我的应用程序本身会从服务器内向服务器发出请求.
问题:防火墙上有漏洞吗?我可以做得更安全的方法.
这是我的防火墙设置:
*filter:FORWARD ACCEPT [0:0]:input ACCEPT [0:0]:RH-Firewall-1-input - [0:0]:OUTPUT ACCEPT [0:0]-A FORWARD -j RH-Firewall-1-input-A RH-Firewall-1-input -i lo -j ACCEPT-A RH-Firewall-1-input -p icmp -m icmp --icmp-type any -j ACCEPT-A RH-Firewall-1-input -p esp -j ACCEPT-A RH-Firewall-1-input -p ah -j ACCEPT-A RH-Firewall-1-input -m state --state RELATED,ESTABliSHED -j ACCEPT# Allow Secure SSH transfer-A RH-Firewall-1-input -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT# Allow all http requests-A RH-Firewall-1-input -p tcp -m tcp --dport 80 -j ACCEPT-A RH-Firewall-1-input -j REJECT --reject-with icmp-host-prohibitedCOMMIT*mangle:FORWARD ACCEPT [0:0]:input ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:PREROUTING ACCEPT [0:0]:POSTROUTING ACCEPT [0:0]COMMIT# Completed*nat:OUTPUT ACCEPT [0:0]-A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080:PREROUTING ACCEPT [0:0]:POSTROUTING ACCEPT [0:0]# Routes all http requests from port 80 to port 8080.# Allows you to run JETTY as a non-root user.-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080COMMIT# Completed解决方法 您的配置中包含以下行:
-A RH-Firewall-1-input -p icmp -m icmp --icmp-type any -j ACCEPT
但是,有两种类型的ICMP请求可以被视为一个小的安全问题(从enter link description here开始):
Type name Reference ...13 Timestamp [RFC792]...17 Address Mask Request [RFC950]
类型13是根据目标计算机的确切时间请求.确切的时间可用于在某些网络协议中利用一些非常弱的加密算法,允许攻击者获得对特权信息的访问.类型17是对接收请求的接口的网络掩码的请求.有效的响应可以帮助攻击者了解您的网络拓扑.代替上述规则,我建议遵循以下三条规则:
-A RH-Firewall-1-input -p icmp -m icmp --icmp-type 13 -j REJECT-A RH-Firewall-1-input -p icmp -m icmp --icmp-type 17 -j REJECT-A RH-Firewall-1-input -p icmp -m icmp --icmp-type any -j ACCEPT
这些规则将阻止两种禁用的ICMP类型并允许所有其他类型.
总结以上是内存溢出为你收集整理的我的linux防火墙安全吗?全部内容,希望文章能够帮你解决我的linux防火墙安全吗?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)