ok, vou testa isso e depois retorno se eh isso mesmo
mesmo assim, obrigado pelas dicas, deu pra ter uma noção maior sobre os pacotes em relação ao firewall
Versão Imprimível
ok, vou testa isso e depois retorno se eh isso mesmo
mesmo assim, obrigado pelas dicas, deu pra ter uma noção maior sobre os pacotes em relação ao firewall
manda ver...
R.: Lembre-se , tudo o que sae da sua rede nao é OUTPUT.. OUTPUT é tudo aquilo que sae do Firewall (originado por ele) o que sae da rede internet ou entra para a rede interna é FORWARD.. e apenas ele..
Depende se vc estiver trabalhando na tabela FILTER sim, mas na tabela NAT nao
R.: Se esses pacotes sao destinados ao FIREWALL e mais ninguem.. sim.. libera-se as portas que vc precisa no FIREWALL.. tipo.. liberar um SSH que roda no firewall.. liberar um apache .. que roda no firewall.. mais nada no INPUT é tratado para pacotes que nao sejam destinados ao proprio Firewall..
e nao existe a necessidade de vc liberar nada que volta quando um protocolo necessita de retorno pelo firewall. principalmente na chain INPUT.. é so vc tratar isso pelo modulo STATE do iptables.. que ele ja faz isso para vc..
Se ele vai pingar do Firewall ele tem que colocar o -m state --state RELATED,ESTABLISHED no INPUT mas se for de uma maquina na rede tem que ser no FORWARD
R.: Querys DNS. sera feita pelo OUTPUT se vc estiver consultando isso pela maquina FIREWALL.. sendo assim.. nao precisa de nada no INPUT... poisquem originou a query foi o seu firewall e nao o servidor de destino que esta tentando lhe consultar na porta UDP 53..
Mas se voce nao tiver um -m state no INPUT o pacote nao entra ele dropa pela politica
vc ta certo, me atrapalhei por causa do RH-Lokkit, mas eh isso ae, vivendo e aprendendo :)
danilo, vc ja ouviu fala no RH-Lokkit?
Mas se voce nao tiver um -m state no INPUT o pacote nao entra ele dropa pela politica
vc tem certeza doque vc ta faladno ?
eheheheh