这是一个创建于 3572 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看了看 ArchWiki 的这一条目: https://wiki.archlinux.org/index.php/Simple_stateful_firewall ,想问问大家都是怎么配置防火墙的。
 | 1 unixbeta 2016-01-02 10:06:33 +08:00 via iPhone iptables …… 我们都是专业设备来做这些事 |
 | 2 Mithrandir OP @unixbeta 硬件防火墙?你们难道不使用 iptables ? |
 | 3 k9982874 2016-01-02 10:26:03 +08:00 via iPhone 我是只开必要的端口, ssh 等敏感端口换端口,只开证书认证,装 fail2bab 。机房负责防 ddos 。比较皮毛。 同求大神指点。 |
 | 4 holyzhou 2016-01-02 10:28:59 +08:00 分区域 ,各独立区域相互之间都是由硬件防火墙策略管理 iptables 更偏向单机设置,对于 vps 或者类 vps 的云机器这些倒是可以用用 , 企业内感觉最多也就用它写写开关端口的 acl ,做 nat 的情况都不多 |
 | 5 smallfount 2016-01-02 10:29:39 +08:00 ....直接上硬件啊... 内向外只开 80 跟 443.. 外向内就看 application 需要了....不过所有 web 应用都走 DMZ 的反向代理再进 VM |
 | 6 Mithrandir OP @k9982874 转换端口的话用扫描工具一样可以检测出来的吧,可以再考虑端口隐藏什么的,上面的 wiki 里有讲这个 |
 | 7 47jm9ozp 2016-01-02 10:33:48 +08:00 非运维,在用 arno-iptables-firewall 用哪个端口开哪个 |
 | 8 jings 2016-01-02 11:04:25 +08:00 via Android 窝来告诉你 不存在绝对防御,那如何防御呢?钱+人才 :托管。 |
 | 9 Andy1999 2016-01-02 11:07:50 +08:00 via iPhone 禁用 UDP 、 ICMP ,然后端口 22 限制 10.0.0.0/8 登录 开放 80 443 其他一律 drop 本机开启软防脚本,超过一定请求数 ban 掉 Nginx 开启限制线程和单线程下载速度 |
 | 10 billwang 2016-01-02 17:12:33 +08:00 难道不是有个运维系统,登录系统后点击服务器 ip 的 xshell 直接连接系统吗? |
 | 11 tinyproxy 2016-01-02 18:37:05 +08:00 via iPhone @Andy1999 禁用 UDP 太绝对了。。。比如日志收集,中心化管理,用 tcp 不觉得太蛋疼了么 |
 | 12 fuge 2016-01-03 15:14:39 +08:00 via iPhone 飞塔 200d |
 | 13 ayouwei 2016-01-04 18:10:54 +08:00 在大流量业务前面加防火墙就是自作的行为, 性能瓶颈是个大坑, 吹虚的再牛逼的商用硬件在这个场景下也是个渣; 安全要求高的特殊业务另说, 没有防火墙不让你搞的业务另说 |
Select Language