Должен ли я использовать функцию переадресации портов моего брандмауэра или мои службы прослушивают альтернативные порты?

Question

У меня есть VPS, с помощью которого я запускаю свой собственный почтовый сервер, сидящий в эфире интернета, к которому у меня есть доступ по SSH. Мой журнал показывает, что я получаю около 500 неудачных попыток подключений в день, поэтому я хотел бы закрыть стандартный SSH-порт и открыть альтернативу, и я хотел бы получить доступ к своей службе SMTP с дополнительного порта, так как мой провайдер блокирует порт 25 ,

Сервер Debain Squeeze работает под управлением Postfix и OpenSSH и использует Shorewall в качестве брандмауэра.

Предполагая, что вышеупомянутое считается хорошей практикой (если нет, пожалуйста, посоветуйте мне, как мне следует достичь своих целей), должен ли я использовать переадресацию портов на своем брандмауэре или службы должны работать на альтернативных портах и открывать / блокировать соответствующие порты с помощью брандмауэра? В частности, я хотел бы знать, почему один метод предпочтительнее другого.

Answer 1

Я бы поменял порты в самих сервисах.

Для sshd это легко, просто измените /etc /ssh /sshd_config и измените директиву Port . Убедитесь, что у вас есть альтернативный способ войти в случае, если что-то пойдет не так.

Для postfix, в зависимости от вашей ситуации, вы, вероятно, захотите включить дополнительный порт для прослушивания, а не заменять порт 25 (так как входящая почта от сервера к серверу прекратится, если у вас не будет открыто 25). Отредактируйте master.cf, найдите строку smtpd и добавьте дополнительную строку для порта, который вы хотите прослушивать (2525 в этом примере):

  25      inet  n     -     n     -     -     smtpd
2525      inet  n     -     n     -     -     smtpd

Кроме того, рассмотрите возможность перехода на интернет-провайдера, который не блокирует порты без возможности отказа.

Основным преимуществом этого способа является уменьшенная сложность - вы хотите, чтобы эти порты прослушивались сервисами, и введение другого компонента (iptables), чтобы сделать это для вас, увеличивает сложность. Я бы сказал, что простота занимает важное место в принятии таких решений.

Answer 2

Альтернативные порты

Службы могут быть запущены по ряду причин (как хороших, так и плохих). Типичные веские причины:

• запуск службы на непривилегированном порту
• обойти неудобную фильтрацию портов
• модификация сервиса, чтобы он не имел типичного поведения

Перенаправление порта

Переадресация портов обычно выполняется в качестве меры безопасности, когда фильтрация портов отсутствует (или, по крайней мере, не должна). Фильтрация портов также обычно выполняется с помощью брандмауэра, отдельного от службы, обычно с помощью брандмауэра на отдельном сервере. Это помогает сдерживать (ограничивать) некоторые возможные уязвимости при запуске службы. Причины фильтрации портов:

• безопасность
• разделение службы / сервера

Answer 3

Я бы посоветовал менять порты на брандмауэре, а не на сервисы - если вы решите переключать другие порты или серверы, вам нужно будет только перенести правило брандмауэра, а не гоняться за полдюжиной разных конфигураций.