iptables для людей: Как я перестал быть «удобным» сервером и накатил Human Firewall

[@skovpen]

А зачем в 2025 году iptables, если есть nftables?

[@Systems_Engineer]

Справедливо. Но вы же знаете правило „работает - не трогай“. Моя нервная система - суровый легаси-монолит на ядре 2.6. Боюсь, если начну миграцию на nftables прямо на проде, у меня драйверы эмпатии отвалятся окончательно :) Пока сижу на проверенном стеке

[@vitaly_il1]

Прекрасно, спасибо за пост!
Для продвинутых можно продолжить, углубляясь в применение REJECT и DROP.

[@gebwopycj4]

я годами жил с архитектурой Default Allow.
В InfoSec это считается дичью.

смотря где.

1. по дефолту все DNS запросы для внутренних клиентов (привет адептам zero trust) разрешены, и рекурсивные запросы тоже.

2. по дефолту на проксях все сайты для внутренних клиентов обычно разрешены, если не внедрять белый список, как это сейчас делает РКН.

Представьте админа, который

пересадил на 127.0.0.1 все сервисы, которым не нужен доступ из Интернета,
и зафиксировал их набор.

открыл все порты, отключил фаервол и пускает любой пакет,

при условии см выше это допустимо и даже местами полезно.
любой фаерволл снижает призводительность сети и увеличивает задержку.