TLSとパケットフィルタリング

TLSとパケットフィルタリング

発信443接続のみを許可するようにBSDパケットフィルタリングを使用してクライアントを設定したいと思います。これは私に効果がありますかpf.conf

block out
block in
pass out on eth0 inet proto tcp from (eth0) to any port 443 keep state

サーバーが常に「外部」である場合、443で着信接続を許可する理由はありますか?

答え1

私が使用した他のディストリビューションでは、port:443に着信接続を許可しないでください/usr/sbin/iptables rules-to-allow-only-ougoing-on-port-:443。クライアントが要求する場合にのみ着信接続を許可します。それ以外の場合は気にしません。

必要な着信ポートを許可するとセキュリティホールが露出する可能性があります。特に、サーバーが常に外部にある場合は特にそうです。私は過去にハッキングされたことがあり、オープンポートのためにサーバーを再構築し、サーバーのセキュリティを維持するためにいくつかの脆弱性ツールを実行する必要がありました。

関連情報