¿Cuándo debería usarse una regla de "coincidir con todos los paquetes" (en lugar de la política de cadena)?
Creo que esto debería usarse en aplicaciones en tiempo real como transmisión de audio o transmisión de video. ¿Hay otras situaciones?
¿Cuándo debería usarse una regla de "coincidir con todos los paquetes" (en lugar de la política de cadena)?
Creo que esto debería usarse en aplicaciones en tiempo real como transmisión de audio o transmisión de video. ¿Hay otras situaciones?
Siempre que sea la forma más fácil de definir sus reglas.
Los firewalls modernos son más que capaces de lidiar con docenas, cientos o incluso miles de reglas sin un gran impacto en el rendimiento, por lo que la regla general es hacer que sus reglas sean fáciles de administrar y asegurarse su dispositivo realiza la función que pretende .
Eso significa; Si su dispositivo solo realiza un trabajo con un tipo de paquete, configure sus valores predeterminados para tratar con ese tipo de paquete y listo. Sin embargo, si necesita lidiar con múltiples tipos de varias maneras, bueno, puede ser más fácil lidiar con políticas separadas en lugar de dejar que las cosas caigan en su valor predeterminado porque puede cambiar su prioridad en su cadena, agregar reglas después, etc. de esa manera también significa que su dispositivo no hace nada que no tenga la intención explícita (asumiendo que su valor predeterminado es negar todo ).
Para transmisión en tiempo real, transmisión de video y similares, tenemos QoS que en la mayoría de los dispositivos puede incluir o asociar con tus reglas de streaming.
Una de las razones de iptables es que las reglas pueden hacer cosas que las políticas de cadena no pueden. Las políticas de la cadena solo pueden aceptar o eliminar, las reglas pueden hacer muchas otras cosas, como rechazar paquetes.
Otra razón es que puede hacer que la reconfiguración sea más segura. Si se acepta su política de cadena predeterminada, al vaciar la cadena para reconfigurar dejará el firewall abierto temporalmente. Si su política de cadena predeterminada se elimina, al vaciar la cadena para reconfigurarla, el firewall quedará cerrado temporalmente por completo.
Lea otras preguntas en las etiquetas firewalls