Una regola iptables in entrata in ddwrt sulla porta 443 romperà https?

0

Voglio eseguire un servizio ripetitore vnc sul mio router ddwrt di casa. A causa della possibilità che amici / parenti chiedano supporto in ambienti di rete sconosciuti, mi piacerebbe che l'applicazione host-repeater fosse eseguita su 443 (molto raramente bloccata), quindi sto pensando di poter applicare questa regola delle tabelle ip.

iptables -I INPUT -p tcp -m tcp --dport 443 -j logaccept

Sono preoccupato, questo pasticcio con il traffico in risposta al traffico in uscita? Ad esempio, supponiamo che mi connetta al mio conto bancario su https. I pacchetti di ritorno che sto cercando verranno indirizzati al mio router anziché al mio computer? Non ne sono mai stato sicuro, perché mentre è in risposta a una richiesta, è ancora traffico INBOUND tecnicamente.

Inoltre, sono consapevole che questo mi aprirebbe al port scan, ma dal momento che non avrei eseguito il protocollo previsto su 443, sarei (relativamente) sicuro di aprire 443 nel resto del mondo? Non riesco a immaginare qualcuno solo indovinando casualmente che avrei eseguito un ripetitore uvnc specifico E sapendo come sfruttare ogni debolezza che potrebbe avere.

Grazie

networking  iptables  https 
Sidney
fonte

Risposte:

1

No, il traffico in uscita non sarà interessato.

A causa della maggior parte dei router che utilizzano Destination NAT (al contrario di NAT di origine o NAT bidirezionale), alle richieste dalla rete viene automaticamente assegnato un numero di porta elevato, che viene quindi utilizzato per la mappatura inversa della connessione; vedere Wikipedia per maggiori dettagli su NAT in generale e questa domanda StackOverflow su come viene calcolata la porta di ritorno.

Le uniche eccezioni a questo che conosco sono un demone NTP Linux (ce ne sono diverse e non ricordo quale).

Per quanto riguarda l'aspetto della sicurezza, la porta 443 è una delle porte più comuni scansionate e dovresti aspettarti alcuni tentativi di sfruttamento. Consiglio di mettere in atto alcune misure di sicurezza (ad esempio l'autenticazione di base). Ero solito gestire il mio server Git su SSH a casa e alla fine ricevevo centinaia di tentativi di connessione al giorno da scanner a forza bruta.

Craig Watson
fonte
Grazie, non sono mai stato chiaro su come funzionasse. Mi libera di utilizzare porte standard per servizi non standard (con adeguate misure di sicurezza).
Sidney,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.