我計劃建立一個僅用於一個目的的 Raspberry Pi。
- 僅開放一個端口
- 每個人都應該能夠連接到此端口
- 監聽該連接埠的應用程式沒有root權限
- 它不路由。即沒有其他 PC 可透過此 Raspberry Pi 訪問
- 沒有出站連接。即 Raspberry Pi 不會主動連接到另一台 PC
- 我將進行連接埠掃描以斷言沒有其他連接埠打開
那麼,我需要在此設備上運行防火牆嗎?
答案1
好吧,如果您在公共網路上,我仍然會設定(當然是現有的)netfilter 防火牆。
也就是說,我會阻止任何其他流量類型,例如ICMP 等。 ;您的目標是洩漏盡可能少的系統資訊。
此外,如果您不主動阻止 ICMP 回應(「ping」),它們將被傳回。我想你也不想要這個(至少我不要)。
答案2
防火牆工作是由 Linux 上的 netfilter/iptables 完成的
因此,防火牆只會導致 iptables 設定丟棄所有傳入的 tcp 連線。 (並且可能會阻止傳出連線。)
我個人不會創建這樣的防火牆配置。如果您知道只運行一個伺服器應用程序,則沒有必要。
跑步
netstat -ltw
查看是否只有一個應用程式偵聽 tcp 連線。也許您想要刪除一些預先安裝的伺服器應用程式。
-l means listen
-t means tcp
-w means raw (will show the ping server)
您還應該檢查您的綁定 IP 位址。您可能只想接受相同 LAN 中的用戶端,而忽略來自網際網路(是的,網際網路)的用戶端。