Re: [Bulk] Re: FTP x FIREWALL-[NAO RESOLVIDO]
Em Quinta 25 Janeiro 2007 12:34, Maxwillian Miorim escreveu:
> On 1/25/07, badfile <badfile@itelefonica.com.br> wrote:
> > Estou acompanhando o tópico, para me ajudar a entender o iptables.
> > O Squid trabalha pela ordem das acls e o iptables por cadeia.
> > O que seria uma cadeia? Se eu dropo tudo no início, como raciocinar para
> > colocar as regras na ordem correta? Estou pesquisando, mas Isso ainda não
> > entendi.
> > Peço às boas almas que me retirem da escuridão...
>
> O iptables trabalha como uma pilha: as regras são empilhadas em grupos
> chamados chains e depois são processadas "de cima para baixo" (se tu é
> programador seria um stack, literalmente), havendo bloqueio ou
> liberação explicita o pacote é liberado.
>
> Cadeias e chains são a mesma coisa: grupos de regras ordenadas.
>
> A política DROP (acho que foi isso que tu quis dizer com "se eu dropo
> tudo no início") faz o seguinte: depois de processar todas as regras,
> se não houver nenhuma ação, a ação tomada é o DROP. Há casos, como o
> henrique citou, em que colocando o DROP (explicitamente, na forma de
> regra e não política) no fim das regras facilita muito a vida dos
> "desavisados", assim quando limpar as regras, com iptables -F, por
> exemplo, não haverá nada restringindo pois a ação padrão é ACCEPT.
> Além disso, com a regra ativa e posicionada após as demais continua
> bloqueando da mesma forma, é só uma "prevenção a acidentes de
> trabalho". :D
sim sim sim !!!
exatamente isso, é acidente de trabalho mesmo..rssrsrsrsrsrs
vai depender do seu cenário, é como usar a linguagem pra dizer a mesma idéia,
não necessariamente com as mesmas palavras. Por exemplo,
1 - João comprou 10 paes.
2 -10 pães foram comprados por João
3 - Tonico, o vendedor da padaria, vendeu 10 pães pro João.
4 - João e seus 9 filhos comeram os pães que João comprou na padaria vendidos
por Tonico.
em todas as frases, construídas de maneira totalmente diferente, a idéia
prevalece a mesma. Em algumas, existe mais informação, em outras, menos. Mas
a idéia central é a mesma. João adquiriu pães.
No caso do iptables, podemos pensar assim, sentenças positivas(regras
liberativas) em um texto negativo (política DROP), OU sentenças negativas
(regras negativas) em um texto positivo (politica ACCEPT). Existe também o
cenário a que eu me referi, onde o texto é positivo, com regras liberativas,
e uma unica regra ao final, dizendo o equivalente a "se não foi especificado
positivamente, então, está negado".
O que eu vejo sempre é redundância em exemplos espalhados pela net. Se o seu
firewall tem política DROP, não precisa, em teoria, de regras DENY, somente
de regras ACCEPT, porque pela política DROP, tudo o que não for
explicitamente liberado já está automaticamente bloqueado. Isso me confundiu
bastante no passado, olhar firewalls "frankstéinicos", um pedaço vindo de
cada canto, mas que não faziam mto sentido globalmente caso eu lesse a
documentação.
Agora, respondendo a sua pergunta, é: depende.
Eu costumo usar a ação
-j LOG --prefix " ALGUMACOISA: " antes de mandar qualquer regra deny ou
reject, ou seja, o syslog vai me informar o que ele bloqueou.
Mas tem também quem goste de usar tcpdump, netdiag, ethereal, e por ai vai. É
apenas uma questão de ferramentaria.
Quando eu entendi que diferentes pessoas, com os mesmos objetivos e
necessidades, podiam escrever firewalls de diferentes maneiras, respeitando
os estilos individuais e gostos de cada um, dai eu pude dizer "YES, eu sei
firewall".
(E logo depois o meu chefe disse: " - SHOW ME". Foi uma boa luta, ainda estou
me recuperando dos machucados) :D
[ ]s, Henry
_______________________________________________________
Yahoo! Mail - Sempre a melhor opção para você!
Experimente já e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
Reply to: