Em Sex, 2005-09-02 às 02:05 -0300, Romulo Sousa escreveu: > Olá pessoal, Olá > > Estou com uma dúvida em relação a maneira como as chains são > interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma > chain INPUT aceitando um tráfego cujo o endereço IP de origem foi > especificado. Os IP's restantes foram descartados com o target DROP. oui vc pode setar a politica como DROP: iptables -P INPUT DROP ( é mais saudável assim , pois se vc esquecer de liberar algo, com certeza este algo será dropado..80) > Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem > pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir > uma nova chain INPUT para filtrar os pacotes que chegam por um segundo > endereço. ok > Dúvida: posso simplesmente escrever sequencialmente uma nova chain > mesmo que ela tenha sido anteriormente negada? > NÂO. se vc negar tudo ele não olha a proxima regra. > ex: > #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT ok tudo o que vier do source 200.0.0.1 com destino a port 21 será aceito > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP TUDo que vier de QUALQUER REDE com destino a porta 21 será sumariamnete DROPADO > > //adicionando um novo endereço para acesso > > #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT erro erro erro vc já dropou todas as comnexôes com a regra acima de DROP........ > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP > > 1 - o iptables aceita esse tipo de "retalho"? NÂO, mas vc pode mudar a sequencia para aceitas de onde vc que e a) dropar coma regra que vc colocou b) colocar a politica como drop. > 2 - é elegante escrever regras de firewall onde a cada momento que > apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu > "acorrentar" as regras dessa maneira? é o mais natural. normalmente as redes e regras não são estaticas. vc tem que de vez em quando liberar ou retirar regras do su firewall. portanto para facilitar sua vida faça um script delas.....80) > 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada > já que o pacote vai ser descartado de qualquer maneira (acho!) quando > não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem? > novamente depende de como vc setou a politica do seu firewall. Lembra o iptables -P ??? aconselho a vc ler o melhor tutorial que eu conheço de firewall que é do Oscar em : http://iptables-tutorial.frozentux.net/chunkyhtml/index.html []s e boa leitura > Um grande abraço a todos, > > Romulo Sousa > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
Attachment:
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente