Kategorie szkoleń | Egzaminy | Kontakt
  • 3
  • 8
  • 115

Załóżmy, że Apache ma być widoczny w Internecie. Czy wystarczy otworzyć jedynie port numer 80:

 

/sbin/iptables -A INPUT --dport 80 -j ACCEPT

 

Z drugiej strony, jeżeli serwer ma być dostępny tylko dla określonej puli:

 

/sbin/iptables -A INPUT -p tcp -s 80.53.218.X --dport 80 -j ACCEPT

 

czy trzeba by było zablokować cały pozostały ruch:

 

/sbin/iptables -A INPUT -j DROP
Krystian_Dombrowicz
  • Zapytał
  • @ Krystian_Dombrowicz | 14.04.2015
    • 7
    • 0
    • 11
Zaloguj się aby zadać pytanie
Pokrewne

Odpowiedzi (3)

  • 1

Warto też pomyśleć o ruchu WYCHODZĄCYM z serwera www. Często jest on w znacznym stopniu zbędny. Blokowanie go pozwala wyeliminować niektóre patologie i ograniczyć w dużym stopniu skutki potencjalnego włamania.

Andrzej_Dopierała
  • Odpowiedział
  • @ Andrzej_Dopierała | 16.04.2015
    • lider
    • laureat
    • ekspert
    • 83
    • 65
    • 169
  • 1
Zawsze mogę do usługi httpd dać uprawnienie dla danej podsieci w postaci : 
 

iptables -I INPUT -s 192.168.56.0/24 -p tcp --dport 80 -j ACCEPT
 

Chyba, że zaangażuję SELinuksa i  konteksty plików.
 
 
Krystian_Dombrowicz
  • Odpowiedział
  • @ Krystian_Dombrowicz | 16.04.2015
    • 7
    • 0
    • 11
  • 9

Filtrując pakiety za pomocą IPTABLES dopuszczasz cały ruch po TCP i na port docelowy 80. Pomyślałbym też o zajrzeniu do samego protokołu http i odpowiednim go z walidowaniu.

Rafał_Kędzierski
  • Odpowiedział
  • @ Rafał_Kędzierski | 20.04.2015
    • lider
    • laureat
    • 39
    • 6
    • 46