Planeo construir una Raspberry Pi que tenga un solo propósito.
- Solo hay un puerto abierto
- Todo el mundo debería poder conectarse a este puerto.
- La aplicación que escucha en este puerto no tiene privilegios de root
- No hace ruta. Es decir, no hay otras PC accesibles a través de esta Raspberry Pi.
- Sin conexiones salientes. Es decir, la Raspberry Pi no se conectará activamente a otra PC
- Haré escaneos de puertos para afirmar que no hay otros puertos abiertos
Entonces, ¿necesito un firewall ejecutándose en este dispositivo?
Respuesta1
Bueno, aún así configuraría el firewall netfilter (por supuesto existente), si estás en una red pública.
Es decir, bloquearía cualquier otro tipo de tráfico como ICMP, etc. Además, la mayoría de los escáneres de puertos/sistemas detectan tipos de sistemas mediante todo tipo de respuestas de error ("puerto inalcanzable"), etc., por lo que definitivamente disminuye la superficie de ataque; su objetivo es filtrar la menor cantidad de información posible sobre su sistema.
Además, las respuestas ICMP ("ping") se devolverán si no las bloquea activamente. Y creo que tú tampoco quieres esto (al menos yo lo haría).
Respuesta2
El trabajo del firewall lo realiza netfilter/iptables en Linux
Entonces, un firewall simplemente resulta en que una configuración de iptables elimine todas las conexiones TCP entrantes. (Y tal vez bloqueando las conexiones salientes).
Yo personalmente no crearía tal configuración de firewall. No es necesario si sabe que solo tiene una aplicación de servidor en ejecución.
Correr
netstat -ltw
para ver si solo tiene una aplicación escuchando conexiones tcp. Tal vez haya algunas aplicaciones de servidor preinstaladas que desee eliminar.
-l means listen
-t means tcp
-w means raw (will show the ping server)
También debe verificar su dirección IP de enlace. Es posible que solo desee aceptar clientes en la misma LAN e ignorar clientes de Internet (sí, Internet).