[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Regras de firewall



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 01/28/2007 06:27 PM, Rogério Ferreira wrote:
> Boa tarde.
> 
>    Gostaria de alterar as regras do meu firewall, porém não sei se após
> a modificação as regras terão o mesmo efeito que possuem atualmente.
>    As regras atuais são basicamente as seguintes:
> 
>    iptables -P OUTPUT ACCEPT
>    iptables -P INPUT DROP
>    iptables -P FORWARD DROP
> 
>    iptables -A INPUT -i lo -j ACCEPT
>    iptables -A INPUT -p tcp ! -f ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
>    iptables -A INPUT -p udp ! -f -m state --state ESTABLISHED,RELATED -j ACCEPT
>    iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -m limit --limit 1/s --limit-burst 3 -j ACCEPT
> 
>    Gostaria de saber se mudando para as regras abaixo estaria alterando
> o resultado final da interpretação do firewall:
> 
>    iptables -P OUTPUT ACCEPT
>    iptables -P INPUT DROP
>    iptables -P FORWARD DROP
> 
>    iptables -A INPUT -i lo -j ACCEPT
>    iptables -A INPUT ! -f -m state --state ESTABLISHED,RELATED -j ACCEPT

	Você mudou a regra acima, vale pra outros pacotes além do TCP, só
que --syn só vale pra pacotes TCP.


>    iptables -A INPUT -p tcp ! --syn -j ACCEPT

	Com essa regra você aceita qualquer pacote TCP que não seja SYN,
em qualquer porta, o que é _bem_ estranho pra um firewall. ;)


>    iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s --limit-burst 3 -j ACCEPT

	Você alterou a regra acima com relação ao estado.

	E você removeu a regra do UDP.


> Obrigado.

	Abraço,

- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFvgoYCjAO0JDlykYRAn6DAKCL9P5OTPvT8WWGh3m/GA0b0uSxUQCdFXGr
xRqZzVxdrEZVITnikD2zFJo=
=APEZ
-----END PGP SIGNATURE-----



Reply to: