Saya sering melihat aturan -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
diterapkan. Meskipun saya bukan seorang ahli, kalimat itu menjadi perhatian saya. Sudah cukup jelas bahwa aturan tersebut mengizinkan semua lalu lintas dengan satu-satunya pengecualian bahwa koneksi harus dibuat atau terkait dengan koneksi yang ada.
Skenario
- Saya akan mengizinkan koneksi ke port SSH default
22
dari server LAN di subnet192.168.0.0/16
atau apa pun. SuperInsecureApp®
memperlihatkan sesuatu pada port1337
, yang saya tambahkan keINPUT
rantai saya .- Saya telah menambahkan
conntrack
aturan untuk menerimaESTABLISHED
danRELATED
dari semua sumber - Kebijakan rantai adalah
DROP
Jadi pada dasarnya konfigurasi itu harus memungkinkan koneksi SSH dari LAN saja, sementara memungkinkan lalu lintas masuk pada port 1337 dari dunia.
Di sinilah kebingungan saya mekar. Akankah dengan conntrack
cara apa pun memaparkan kelemahan keamanan yang akan memungkinkan seseorang untuk mendapatkan koneksi yang terjalin pada 1337 (karena dunia terbuka), dan kemudian memanfaatkan koneksi itu untuk mendapatkan akses ke port SSH (atau port lain dalam hal ini)?