У меня есть сервер Ubuntu 14.04, который имеет два порта Ethernet: eth0 напрямую подключается к пользовательской камере, а eth1 подключается через кабель LAN к беспроводному маршрутизатору.
Я разрабатывал веб-приложение, когда подрядчик попросил меня включить SSH, чтобы он мог установить еще одно другое приложение. В течение нескольких секунд я нашел в журнале два зонда из Китая! Я наивно включил UFW. В этот момент я больше не мог подключаться к серверу через локальную сеть (хотя сервер и другие компьютеры могли подключаться к Интернету), и я немедленно удалил SSH. С тех пор я отключил UFW, решил использовать порт xxx0 (безопасность по неизвестности) и переустановил SSH. Я проверил мой сервер и SSH из локальной сети, и они оба работают.
Я пользователь LINUX, а не системный администратор - и есть чему поучиться!
Мой вопрос снова: какие минимальные услуги мне нужны для системы с сервером и маршрутизатором? Этого достаточно? (Я ожидаю подключить сетевой сервер времени к локальной сети позже.) Ответ на чей-то пост подразумевает, что маршрутизатору может понадобиться:
iptables -A INPUT -p icmp --icmp-type 3/4 -j ACCEPT
Я что-то пропустил?
# Generated by iptables-save v1.4.21 on Mon Dec 22 09:54:46 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [16:1431]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport xxx0 -j ACCEPT # SSH
-A INPUT -i eth1 -p tcp -m tcp --dport xxx5 -j ACCEPT # WWW
-A INPUT -i eth1 -p tcp -m tcp --dport xxx6 -j ACCEPT # Web Socket
-A INPUT -i eth0 -p udp -m udp --dport xxx8 -j ACCEPT # camera
-A INPUT -p udp -m udp --dport 53 -j ACCEPT # DNS
-A INPUT -i eth1 -p icmp -m limit --limit 10/sec -j ACCEPT # LOCAL DEBUGGING - REMOVE?
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT