Estoy configurando CSF y tengo que especificar aquí mis puertos de salida. Estoy tratando de cerrar la mayor cantidad posible dejando solo lo que necesito abierto, sin embargo, ¿qué debo dejar abierto para wget?
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = ""
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123
Firebind puede probar cualquier puerto UDP o TCP saliente para decirle si está bloqueado o no, y si es así, cómo está bloqueado (DROP, RESET, etc.)
Puede probar cualquiera de los 65535 puertos UDP o TCP, o incluso todo el rango. También tienen un montón de pruebas preconfiguradas para aplicaciones y juegos populares.
Las reglas de firewall salientes son difíciles, quiero decir realmente difíciles. Las entradas son fáciles porque como administrador (aplicación | db | sys)? Debe tener una idea bastante clara de quién (audiencia) necesita hablar con (servicio). Sin embargo, con las reglas salientes, es necesario,
Usando 2 y 3 puedes construir tus reglas. La razón por la que esto se pone difícil es realmente debido a 3. Tomemos como ejemplo los parches del sistema operativo.
Por defecto, su administrador de paquetes casi seguramente apunta a una lista de réplicas. Así que tienes dos opciones,
Ahora haz esto por todo. Es por eso que se complica, y una razón importante por la que la mayoría de las personas no se molestan. En algunos casos, tiene la obligación de limitar las reglas de salida, piense en PCI-DSS o HIPAA según su auditor. Sin embargo, la mayoría de las veces el recurso que intenta proteger no es lo suficientemente valioso como para justificar el trabajo adicional.
Dicho esto, también es un ejercicio fantástico para realizar. Tendrás un conocimiento mucho más sólido de tu sistema y tendrás un perfil de ataque significativamente más pequeño para monitorear.
Todo lo que se dice, la aplicación wget funcionará la mayoría de las veces contra HTTP o HTTPS, es decir, los puertos TCP 80 o 443. Es posible alojar servicios web en puertos arbitrarios, por lo que deberá asegurarse de Permita los puertos apropiados para cualquier servidor web del que esté bajando datos. También asegúrese de permitir conexiones ESTABLECIDAS y RELACIONADAS, de modo que las respuestas se permitan a través.
El propósito de un firewall es hacer cumplir una política organizacional con respecto a qué tráfico de red permitir. No podemos decirle qué reglas de firewall usar; Las reglas del cortafuegos deben diseñarse según su política. Como no ha incluido la política deseada, no podemos indicarle cómo configurarla.
No estoy familiarizado con la sintaxis de CSF con respecto a las reglas de firewall, pero hay algo desconcertante sobre el fragmento de código que mostraste allí. La política más común para las conexiones salientes es permitir todas las conexiones salientes (es decir, permitir todas las conexiones iniciadas por un cliente interno). Parece que está intentando restringir las conexiones salientes, lo cual es un poco inusual. Además, espero que entienda que el puerto de origen para una conexión de salida (es decir, el número de puerto TCP / UDP en la máquina local) rara vez es significativo. Normalmente, cuando se inicia una conexión de salida, el cliente iniciador utiliza un número de puerto de origen aleatorio. Esto me hace preguntarme si sus declaraciones TCP_OUT / UDP_OUT van a hacer lo que usted quiere que hagan. Sin conocer la sintaxis de CSF, no puedo comentar con autoridad, pero solo puedo poner este indicador rojo para que investigues más.