やみくもに iptables を許している
たとえば smtp をホストの外から受けようと思うと、
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
とすればいいだけ!!なのだが、やみくもに sport の 25 も ACCEPT しようとしている人がいるのを見かけた。こうすると、該当ホストで例えば 10000 番で listen していても、iptables の設定がきいていてホストの外からは connect できない。(なかからはできる)が、上の、sport の 25 の ACCEPT を許してしまうと 10000 番のサービスに、外のホストのソースのポートを 25 番に bind してから connect すると、”つながってしまう!!”。これは当初の smtp をホストの外から受けるという目的から外れて、単なるセキュリティホールを作るだけ。
こうしてはいけません!!!(念のために確認してみた。セキュリティホールになることを確認した。
google でそういうことをしている記事を検索してみよう。