IPTABLES - dúvida

To: debian-portuguese <debian-user-portuguese@lists.debian.org>
Subject: IPTABLES - dúvida
From: Romulo Sousa <romulosousa@gmail.com>
Date: Fri, 2 Sep 2005 02:05:16 -0300
Message-id: <[🔎] 30b2ecf0050901220538470c7b@mail.gmail.com>
Reply-to: romulosousa@gmail.com

Olá pessoal,

Estou com uma dúvida em relação a maneira como as chains são
interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma
chain INPUT aceitando um tráfego cujo o endereço IP de origem foi
especificado. Os IP's restantes foram descartados com o target DROP.
Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem
pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir
uma nova chain INPUT para filtrar os pacotes que chegam por um segundo
endereço.
Dúvida: posso simplesmente escrever sequencialmente uma nova chain
mesmo que ela tenha sido anteriormente negada?

ex:
#iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT
#iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP

//adicionando um novo endereço para acesso

#iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT
#iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP

1 - o iptables aceita esse tipo de "retalho"?
2 - é elegante escrever regras de firewall onde a cada momento que
apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu
"acorrentar" as regras dessa maneira?
3 - a última linha (abaixo do segundo IP aceito) pode ser descartada
já que o pacote vai ser descartado de qualquer maneira (acho!) quando
não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem?

Um grande abraço a todos,

Romulo Sousa

Reply to:

Follow-Ups:
- Re: IPTABLES - dúvida
  - From: Paulo Ricardo Bruck <pauloric@contato.com.br>

Prev by Date: Re: firewall logs
Next by Date: Re: Estou quase a desistir do Sarge
Previous by thread: Re: firewall logs
Next by thread: Re: IPTABLES - dúvida
Index(es):
- Date
- Thread