Этот брандмауэр полностью безопасен?

Question

Я хотел бы знать, есть ли дыры / недостатки в этой настройке брандмауэра. Я хочу максимально заблокировать сервер, чтобы его невозможно было взломать. Единственными запущенными сервисами являются openvpn и ssh.

#!/bin/sh
#
# iptables example configuration script
#
# Flush all current rules from iptables
#
iptables -F

#
# Set default policies for INPUT, FORWARD and OUTPUT chains
#
iptables -P INPUT DROP                
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#
# Allow SSH connections on tcp port 8888 
#
iptables -A INPUT -i venet0 -p tcp --dport 8888 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 8888 -m state --state ESTABLISHED -j ACCEPT

#
# Set access for localhost
#
iptables -A INPUT -i lo -j ACCEPT

#
# Accept connections on 1194 for vpn access from client
#
iptables -A INPUT -i venet0 -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p udp --sport 1194 -m state --state ESTABLISHED -j ACCEPT

#
# Apply forwarding for OpenVPN Tunneling
#
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT     
iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to-source 69.147.244.199   
iptables -A FORWARD -j REJECT

#
# Enable forwarding
# 
echo 1 > /proc/sys/net/ipv4/ip_forward

#
# List rules
#
iptables -L -v

Answer 1

Нет. Ни один брандмауэр не является полностью безопасным. Пока открыт один порт, вы уязвимы для атаки.

Однако он настолько безопасен, насколько это возможно, учитывая обстоятельства.

Приятно видеть, что вы используете SSH с портом, отличным от стандартного.

Если компьютер подключен к Интернету, его нельзя взломать на 100%. Если в OpenVPN или SSH есть изъян, злоумышленник может получить доступ через эти средства. И брандмауэр обладает такой же стойкостью, что и пароли, используемые в протоколах, которые вы передаете через этот брандмауэр.

Убедитесь, что у вас действительно надежные пароли. Еще лучше - не просто полагаться на пароли, но полагаться на комбинацию пароля и ключа, поэтому, если кто-то получит ваш пароль, он не принесет им много пользы. И, возможно, ограничьте, откуда вы разрешаете устанавливать соединения с SSH и OpenVPN - прекратите любые соединения из таких мест, как Китай, Северная Корея и т.д.

Answer 2

Вы можете захотеть ограничить диапазоны ip, из которых вы можете связаться с ssh (и, возможно, openvpn). Обязательно добавьте хотя бы один диапазон, к которому, как вы знаете, у вас будет доступ, даже если ваш провайдер переключает подсеть, из которой поступает ваш ip. Если у вас есть другой сервер, добавьте его ip. Вы можете даже рассмотреть возможность использования ssh с такого хоста перехода.