나가는 443 연결만 허용하도록 BSD 패킷 필터링을 사용하여 클라이언트를 설정하고 싶습니다. 이것이 나에게 효과가 있을까요 pf.conf?
block out
block in
pass out on eth0 inet proto tcp from (eth0) to any port 443 keep state
서버가 항상 "외부"인 경우 443에서 들어오는 연결을 허용할 이유가 있습니까?
답변1
내가 사용한 다른 배포판에서는 port:443 으로 들어오는 연결을 허용해서는 안 됩니다 /usr/sbin/iptables rules-to-allow-only-ougoing-on-port-:443. 클라이언트가 요구하는 경우에만 들어오는 연결을 허용하십시오. 그렇지 않으면 귀찮게 하지 않습니다.
필요한 수신 포트를 허용하면 보안 허점이 노출될 수 있으며, 특히 서버가 항상 외부에 있는 경우에는 더욱 그렇습니다. 나는 과거에 해킹을 당한 적이 있으며 열린 포트로 인해 서버를 다시 구축해야 했고 서버 보안을 유지하기 위해 여러 취약점 도구를 실행해야 했습니다.