[OT] keine Paketfilterung?
Hallo,
ich bin immer davon ausgegangen, dass ich alle Ports, über die ich keine
Dienste nach außen anbieten will, mittels iptables dicht machen sollte, und
zwar, indem ich mittels Connection-Tracking alle eingehenden Pakete mit
Status NEW ausfindig mache und diese zurückweise.
Wenn ich jetzt von den Paketen, die Services anbieten, nur die installiere,
deren Dienste ich nach außen bereit stellen will, (z.B. ssh und apache) und
außerdem
update-inetd -remove discard
update-inetd -remove daytime
update-inetd -remove time
ausführe, komme ich ja nur über die Ports an den Server ran, von denen ich das
auch will (in meinem Beispiel 22 und 80). Bringt es in diesem Fall
zusätzliche Sicherheit, die anderen Ports mittels iptables gemäß oben
beschriebener Methode abzuriegeln? Wenn ja, als wie schlimm ist es
einzustufen, wenn ich das nicht mache?
Hintergrund: Ich habe einen virtuellen Server gemietet, bei dem kein
Connection-Tracking verfügbar ist. Da der Server, wie gesagt, virtuell ist,
kann ich keinen eigenen Kernel installieren und damit dieses Problem auch
nicht beheben.
Danke für eure Hilfe!
Viele Grüße
Wolfgang
Reply to: