iptablesはすべてを許可します。安全ですか?

iptablesはすべてを許可します。安全ですか?

オペレーティングシステムはUbuntu Server 18で、その上でWebサーバーを実行しています。

すべてのポートですべてのトラフィックを許可するのは安全ですか?

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

ポートを制限して一部だけを許可しようとしましたが、21番ポートを特別に開いてもFTPサーバーは機能しません...

答え1

ファイアウォールの後ろに自分自身を隠すのが最善です。つまり、ファイアウォールには事前制限ポリシーが必要です。オンになっているとそこにいないようです。 Webサーバーのみがあり、それをすべてのネットワークに提供したい場合は、結果は同じです。ただし、ファイアウォールなしで他の操作を実行すると、すぐに外部で使用できます。機械が何であるかなど、多くの要因が関連しています。しかし、(私の考えでは)公開したい内容だけを公開することが規則でなければなりません。残りは覆う必要があります。

もう1つの側面は、ファイアウォールが設定できる露出制限です。

私のアドバイスは、少なくともiptablesの基本を学び、常に適用することです。次の補助アプリケーションもたくさんあります。これ、これはリワークと調整です。これ、あなたが好むかもしれません。

答え2

「安全」とは何を意味するかによって異なります。この場合、iptablesは何もブロックしないので、セキュリティのためにそれに依存しても安全ではありませんが、そうではありません。それ自体問題ないので安全だと言えます。

ファイアウォールを介してFTPを動作させることに関して、ポート21で行われるのは制御操作だけであり、実際のデータ転送の場合は追加の接続が確立されます。これらの接続方向は、アクティブなFTPか手動のFTPかによって異なり、通常はFTPサーバーソフトウェアも構成する必要があります。ただし、いくつかの近代的な選択肢(SFTPやwebdavなど)が利用可能かどうかを検討する必要があります。 FTPプロトコルは古く、これを示しています。

関連情報