为什么我们通常会配置防火墙来过滤掉所有我们不明确允许的流量?如果我们不在我们的系统上运行恶意软件,这是否只是深度防御的额外安全层,对我们没有任何好处?
说为传入的 UDP 连接打开端口 60000 到 61000 是否有任何危险,这比只打开几个端口安全得多?
我刚刚听说过mosh,它宣传自己是一种更好的移动 ssh 方式(通过 wifi/手机)。Mosh 使用 UDP 而不是 TCP,因此如果您短暂地进入隧道或您的 IP 地址发生变化(切换手机信号塔),您不必等待从拥塞控制返回或建立新的 ssh 会话。基本上 mosh 使用 ssh 作为非特权用户远程启动 mosh-server,使用 ssh 交换 AES-OCB 密钥,然后将加密数据包(带有序列号)发送/接收到 60000-61000 范围内的端口,你应该将防火墙配置为打开。
我对为传入 (UDP) 连接打开约 1000 个端口感到有些不舒服,但想不出一个很好的理由。如果没有软件正在侦听该端口上的数据,它就会被忽略,对吗?(编辑时:否——它实际上指示服务器发回 ICMP(ping)目标不可达响应)。我想如果我的服务器上运行了恶意软件,它可能正在等待在这些打开的端口之一上监听来自伪造 IP 地址的指令。然而,在互联网连接系统上运行的恶意软件已经可以从其他恶意软件服务器建立连接/下载信息(尽管必须知道 IP 地址)并获取指令,因此这并不会降低安全性。
编辑:有趣,刚刚看到另一个问题,这让我阅读了有关UDP_flood_attack的信息。我想另外我还需要以某种方式禁止我的系统为新打开的 UDP 端口发送 ping 目标无法访问的回复。