背景
Webサーバーのファイアウォールを設定していますが、関連する着信トラフィックを拒否し、デフォルトで確立された接続のみを接続するのが良いセキュリティ対策であるかどうか疑問に思います。
実際に
例えば
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
一般的なものではなく
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
私の理解では、これはより安全になるからです。
質問
これは何の問題ですか?私はHTTPが大丈夫であることを知っていますが、FTPには追加の関連オプションを持つ独自のルールがあるか(私の場合は)まったく必要ないかもしれません。
しかし、これによって中断される可能性がある他の一般的なWebサーバーサービスはありますか?それ以外の場合は、より安全で狭いルールセットを使用したいと思います。
答え1
これにより中断される可能性がある他の一般的なWebサーバーサービスはありますか?
習慣。 FTPルールを正しく構成する限り(使用する場合)、ESTABLISHEDおよびRELATEDの代わりにESTABLISHEDを許可できます。