Mezclando reglas de firewall sin estado y con estado

Navega tus respuestas
2

Se me ha informado que mezclar reglas de firewall que sean tanto sin estado como sin estado puede ocasionar problemas cuando se trata de solucionar problemas. ¿Hay algo de verdad en esto?

Tome los siguientes dos conjuntos de reglas (iptables): 

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW,INVALID -j REJECT

y 

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j REJECT

Funcionalmente, no puedo ver ninguna diferencia. Pero tal vez solo sea mi inexperiencia hablar, ¿hay realmente un beneficio de uno sobre el otro?

    
pregunta AlexH 25.06.2013 - 01:27
fuente

2 respuestas

1

El uso del filtrado basado en el estado en todos los ámbitos con el fin de facilitar la resolución de problemas de un conjunto de reglas de firewall no funcionará como estaba previsto. Es probable que el resultado sea todo lo contrario.

El estado es solo otra característica para filtrar paquetes. No hay razón para que cada regla en un conjunto de reglas use las mismas características. O que "con estado" es de alguna manera un enfoque inherentemente superior.

Para un conjunto de reglas más fácil de configurar con precisión, fácil de solucionar y fácil de actualizar sin romper las cosas, debe ser comprensible para el administrador. Será más fácil de entender si las reglas se expresan de la manera más simple posible. Por lo tanto, las características de filtrado adicionales, particularmente aquellas como el estado que es más difícil de seguir en tu cabeza, deben usarse solo cuando sea necesario.

    
respondido por el Bell 25.06.2013 - 18:45
fuente
0

No hay problema con el último conjunto de reglas, personalmente lo preferiría. La razón por la cual es, bueno, hacer un ejemplo: espero que no tengas una política predeterminada ACCEPT , porque esos paquetes --ctstate INVALID van a colarse. :-)

Si estás tratando de iterar cada cosa que quieres rechazar / soltar, estás obligado a perderte algo.

    
respondido por el Darius Jahandarie 25.06.2013 - 03:56
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las implicaciones de seguridad de INICIAR un servidor de origen con proxy inverso como usuario sin privilegios? ¿Puede Linux (hacerse para) detectar conexiones externas al bus ram?