作者s9209122222 (海海海)
看板Linux
標題[問題] 請問開不開防火牆的差別
時間Wed Apr 15 12:55:25 2015
最近為了某些原因開了SSH和VPN ( PPTP ) 的服務,因此在小烏龜上面設定了這兩個port的forwarding,
由於之前PPTP在防火牆那邊會出現一些問題以至於無法連上,所以目前為止是都沒有開啟防火牆的,
但是我有時候必須要PPPOE撥接使用到公用IP,深怕我的系統會因此被入侵。
問題:
1. 請問開不開防火牆真的會有影響嗎?
2. 請問開了防火牆,但有開放這兩個port,這樣有意義嗎?
3. 除了使用中的這兩個服務,其餘的port會有什麼影響呢?
拜託各位解解小弟的疑問。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.207.31
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1429073727.A.2BA.html
※ 編輯: s9209122222 (122.117.207.31), 04/15/2015 12:56:49
※ 編輯: s9209122222 (122.117.207.31), 04/15/2015 12:57:41
※ 編輯: s9209122222 (122.117.207.31), 04/15/2015 12:58:11
※ 編輯: s9209122222 (122.117.207.31), 04/15/2015 12:59:14
※ 編輯: s9209122222 (122.117.207.31), 04/15/2015 13:00:08
1F:→ dearlove: 1.有阿不然幹嘛開 2.要看預設規則給不給過 3.同2 04/15 13:18
2F:推 filiaslayers: 基本上不太會被入侵就是 04/15 14:05
3F:→ s9209122222: 所以密碼有設好就不用怕了? 04/15 14:07
4F:推 filiaslayers: 我自己是有個vps,只靠ufw擋,放了兩年沒事 04/15 14:37
5F:→ s9209122222: 那個我也有載來試,但就算我開了1723port, vpn照様連 04/15 15:11
6F:→ s9209122222: 不上,所以我才沒開防火牆 04/15 15:11
7F:→ danny8376: 防火牆喔 除了特定port會上限制 04/15 21:06
8F:→ danny8376: 很多時候沒甚麼特別的rule 04/15 21:06
9F:→ tjjh89017: 防火牆不是拿來nat用的嗎(? 04/15 23:42
所以我只有SSH和PPTP這兩個服務,那開不開防火牆到底有什麼影響呢???
因為開了防火牆還是會直接讓這兩個port的東西進出阿!!
那麼不開到底會有什麼影響呢?可以拜託各位說的詳細一點嗎?
※ 編輯: s9209122222 (122.117.207.31), 04/16/2015 02:18:12
10F:→ OrzOGC: 開FW只有允許的port可以進來,其它不行 04/16 08:32
11F:→ OrzOGC: 關FW的話什麼碗糕port都可以連進來 04/16 08:33
12F:→ dearlove: 期時就算開了也要看預設規則 04/16 10:50
請問我沒有開服務的那些port他要怎麼進來呢?我沒觀念...
這樣聽起來用pppoe連線很危險阿!!
※ 編輯: s9209122222 (122.117.207.31), 04/16/2015 11:23:27
※ 編輯: s9209122222 (122.117.207.31), 04/16/2015 11:24:25
13F:推 Bencrie: 可以的話 ssh 不要開在 22 XD 04/16 17:18
我SSH已經有改成其他port了,pptp不知道要去那邊改
這樣如果沒有開防火牆應該也沒關係了吧?
※ 編輯: s9209122222 (111.254.183.116), 04/16/2015 17:46:35
14F:→ HamalAri: pptp 別用了吧,和 freak 漏洞一樣是用 RC4 04/16 21:46
15F:→ HamalAri: ssh 換 port 是很有效啦,但 sshguard/fail2bain 治本 04/16 21:47
16F:→ HamalAri: 不開FW 理論上是不會怎樣,理論上那一堆會自已開服務的 04/16 21:51
17F:→ HamalAri: 都是限 localhost 才可以連,但是你怎麼確定它們沒洞 04/16 21:51
18F:→ HamalAri: 開FW就減少入侵機會而已,也不是萬靈丹 04/16 21:52
了解了,目前就先暫時不開,等到我可以開防火牆又能夠連VPN的時候再開
我用pptp是因為教學看起來最簡單,原本是打算使用openvpn的
openvpn他就給我一堆指令,都不知道是做什麼用的
看起來實在是太複雜就放棄了...
※ 編輯: s9209122222 (122.117.207.31), 04/17/2015 00:32:48
終於找到開防火牆又可以讓pptp通過的辦法了!
要先在 /etc/ufw/before.rules 加入這兩行指令
-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT
然後再重開就好了,這下我有防火牆保護我了!
請問有人願意教openvpn嗎?XD
※ 編輯: s9209122222 (122.117.207.31), 04/17/2015 00:56:19
19F:→ danny8376: openvpn很簡單啊... 唯一麻煩就生憑證 但easyrsa很簡單 04/17 02:46
20F:推 LIAR: 如果openvpn只要一個人連線,或是大家用一樣的nat區域, 04/19 19:23
21F:→ LIAR: 其實不難。如果要特殊應用,那就....總之先從簡單的鍊手感XD 04/19 19:24