Sto solo configurando CSF e devo specificare le mie porte in uscita qui. Sto cercando di chiudere il maggior numero possibile lasciando solo quello che mi serve, ma cosa devo lasciare aperto per wget?
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = ""
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123
Firebind può testare qualsiasi porta UDP o TCP in uscita per dirti se è bloccata o meno, e in tal caso, come è bloccata (DROP, RESET, ecc.)
È possibile testare qualsiasi porta UDP 65535 o TCP, o anche l'intero intervallo. Hanno anche un sacco di test preconfigurati per app e giochi popolari.
Le regole del firewall in uscita sono difficili, intendo davvero difficili. In arrivo sono facili perché come (applicazione | db | sys)? Admin dovresti avere una buona idea di chi (pubblico) ha bisogno di parlare di cosa (servizio). Con le regole in uscita, tuttavia, è necessario,
Usando 2 e 3 puoi costruire le tue regole. Il motivo per cui questo diventa difficile è in realtà a causa di 3. Prendiamo come esempio le patch del SO.
Di default il tuo gestore di pacchetti sta quasi certamente indicando un elenco di mirror. Quindi hai due opzioni,
Ora fai questo per tutto. Questo è il motivo per cui diventa complicato, e una grande ragione per cui molte persone non si preoccupano. In alcuni casi è necessario limitare le regole in uscita, pensare PCI-DSS o HIPAA a seconda del proprio auditor. Tuttavia, la maggior parte delle volte la risorsa che stai cercando di proteggere non è in realtà abbastanza preziosa da giustificare il lavoro extra.
Detto questo, è anche un esercizio fantastico da affrontare. Avrai una comprensione molto più strong del tuo sistema e avrai un profilo di attacco significativamente più piccolo da monitorare.
Tutto ciò che viene detto, l'applicazione wget funzionerà per la maggior parte del tempo contro HTTP o HTTPS, cioè con le porte TCP 80 o 443. È possibile ospitare servizi Web su porte arbitrarie, quindi è necessario assicurarsi di consentire le porte appropriate per qualsiasi server web da cui si estrae i dati. Assicurati inoltre di consentire le connessioni ESTABLISHED e RELATED, in modo che le risposte siano consentite attraverso.
Lo scopo di un firewall è applicare una politica organizzativa riguardo a quale traffico di rete consentire. Non possiamo dirvi quali regole firewall utilizzare; le regole del firewall dovrebbero essere progettate in base alla tua politica. Poiché non hai elencato la tua politica desiderata, non possiamo dirti come configurare la tua politica.
Non ho familiarità con la sintassi di CSF riguardante le regole del firewall, ma c'è qualcosa di strano sul frammento di codice che hai mostrato lì. La politica più comune per le connessioni in uscita è quella di consentire tutte le connessioni in uscita (ad esempio, consentire tutte le connessioni avviate da un client interno). Sembra che tu stia cercando di limitare le connessioni in uscita, il che è un po 'insolito. Inoltre, spero che tu capisca che la porta di origine per una connessione in uscita (ad esempio, il numero di porta TCP / UDP sul computer locale) è raramente significativa. In genere, quando viene avviata una connessione in uscita, viene utilizzato un numero di porta di origine casuale dal client di avvio. Questo mi fa chiedere se le tue dichiarazioni TCP_OUT / UDP_OUT facciano ciò che vuoi che facciano. Senza conoscere personalmente la sintassi del CSF, non posso commentare in modo autoritario, ma posso semplicemente alzare questa bandiera rossa affinché tu possa approfondire ulteriormente.