Re: Regras de firewall
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 01/28/2007 06:27 PM, Rogério Ferreira wrote:
> Boa tarde.
>
> Gostaria de alterar as regras do meu firewall, porém não sei se após
> a modificação as regras terão o mesmo efeito que possuem atualmente.
> As regras atuais são basicamente as seguintes:
>
> iptables -P OUTPUT ACCEPT
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -p tcp ! -f ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p udp ! -f -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -m limit --limit 1/s --limit-burst 3 -j ACCEPT
>
> Gostaria de saber se mudando para as regras abaixo estaria alterando
> o resultado final da interpretação do firewall:
>
> iptables -P OUTPUT ACCEPT
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT ! -f -m state --state ESTABLISHED,RELATED -j ACCEPT
Você mudou a regra acima, vale pra outros pacotes além do TCP, só
que --syn só vale pra pacotes TCP.
> iptables -A INPUT -p tcp ! --syn -j ACCEPT
Com essa regra você aceita qualquer pacote TCP que não seja SYN,
em qualquer porta, o que é _bem_ estranho pra um firewall. ;)
> iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s --limit-burst 3 -j ACCEPT
Você alterou a regra acima com relação ao estado.
E você removeu a regra do UDP.
> Obrigado.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFvgoYCjAO0JDlykYRAn6DAKCL9P5OTPvT8WWGh3m/GA0b0uSxUQCdFXGr
xRqZzVxdrEZVITnikD2zFJo=
=APEZ
-----END PGP SIGNATURE-----
Reply to: