Si tengo el firewall del enrutador habilitado, ¿es realmente necesario configurar iptables en mi sistema? ¿No es un poco redundante?
Por ejemplo, agrego una regla en el enrutador donde la PC no puede usar el puerto 12345 para las conexiones salientes. ¿Por qué debería agregar esta misma regla en el firewall de la PC?
Has hecho dos preguntas diferentes, la del título no es la misma en el cuerpo de tu pregunta. Tener un software de firewall instalado directamente en su máquina no es lo mismo que configurar iptables.
¿Es necesario? No
¿Te dará una capa adicional de seguridad? Sí
¿Por qué ?
Tener una solución de firewall instalada en su PC no se trata solo de bloquear las IP incorrectas y cerrar puertos. Muchos software de firewall emplean firmas de ataques que pueden detectar muchos ataques automatizados (así como dirigidos) en puertos legítimos que podría estar usando.
Por ejemplo, es posible que desee habilitar el acceso SSH a su PC para canalizar su tráfico desde una red no confiable. En este caso, si desea abrir el puerto 22, la mayoría de los enrutadores primitivos no pueden hacer nada más que cerrar / bloquear el acceso a ese puerto. Desea algo para detectar ataques, automáticamente incluir en la lista negra las IPs ofensivas (aunque prefiero el concepto de lista blanca).
Otro punto importante , su fuente de ataques podría no ser solo de redes externas. Una de las máquinas dentro de su red podría estar comprometida y usarse para lanzar ataques en otras máquinas confiadas.
Hay ventajas tanto para un firewall de hardware como para un firewall de PC. El firewall de hardware está aislado de su computadora, con lo cual usted ejecuta un código potencialmente malo que podría comprometer la integridad del firewall. Es posible que el firewall de hardware aún tenga problemas con él, pero es probable que sea mucho más difícil de comprometer. Sin embargo, la desventaja es que un servidor de seguridad de hardware sabe muy poco o nada sobre qué programa está realizando una conexión saliente. Es mejor mantener alejados a los intrusos en lugar de evitar que las cosas malas salgan de Internet, ya que eso requeriría una configuración mucho más compleja de negar cualquier conexión que no esté configurada explícitamente como permitida.
Por otra parte, un firewall de software se ejecuta en su computadora y es consciente de la aplicación que está intentando acceder a la red. Puede permitir cosas a un nivel mucho más granular y hará más para evitar que un programa defectuoso (o incluso un buen programa) acceda a la red de una manera que no quiere, pero la desventaja es que un dispositivo inteligente Un mal programa puede desactivar la funcionalidad del firewall y superarlo.
Puede que no sea necesario , pero tener ambos ofrece protección en caso de que algo resbale por el otro. Principio básico de defensa en profundidad.
Pienso en esto así:
Prefiero forzar un candado para elegir dos candados para entrar. Los frena y podría hacer que me pasen por una casa más fácil de romper.
Su pregunta se puede responder con dos términos: firewall basado en red y firewall basado en host .
Puedes buscar sus definiciones de libros de texto en Google. La definición fácil de entender es:
El firewall del enrutador (u otro hardware de firewall externo conectado al enrutador en modo de prevención) pertenece al firewall basado en red . Porque el objetivo es inspeccionar múltiples dispositivos conectados con enrutador. Por lo tanto, hay un conjunto de reglas de firewall iguales para todos los dispositivos de red .
El firewall de la PC pertenece al firewall basado en host . Lo necesitamos porque hay algunas reglas de firewall diseñadas especialmente para este host (PC) solamente. Por cierto, en la práctica, algunos servidores de seguridad basados en host también incluyen una función antimalware (por ejemplo, un virus) para proteger un único servidor crítico.
Ahora es tu caso. Si se refiere a una regla como "filtrar cierto número de puerto TCP". Por lo general, este es el trabajo del firewall basado en la red. Si vuelve a duplicar la misma regla en la PC, no afectará la decisión (ACEPTAR o RECHAZAR o DROP).
La única preocupación es el retardo de procesamiento , porque el paquete se inspecciona dos veces. Para paquetes individuales o paquetes pequeños, se puede ignorar el retraso adicional. Para una gran cantidad de paquetes (por ejemplo, un millón) y una red de tiempo crítico, el retraso puede no ser ignorado. * Se incluye especialmente la función de inspección profunda de paquetes (DPI).
Lea otras preguntas en las etiquetas firewalls