Polemica, o iptables é statefull????
e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?
intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.
abraço a todos.
Polemica, o iptables é statefull????
são as regras que tornam statefull, tem isso explicado certinho em algum canto lah na pagina deles mas não me recordo bem onde.
Re: Polemica, o iptables é statefull????
Citação:
Postado originalmente por Brenno
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
Nunca passei pela situação citada acima... você fez testes pra comprovar?
[ ]'s
Polemica, o iptables é statefull????
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
Polemica, o iptables é statefull????
Citação:
Postado originalmente por 1c3_m4n
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
justamente, falei isso pq as pessoas que dizem que o firewall é statefull sem depender de regras, EX:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
a segunda regra não to expecificando o -i que é a interface, então o iptables define que é pra todas interface já que eu não esperfiquei, o mesmo ocorre com -s e o -d que search destination, se u não experficico, então o iptables define que eh anywhere qualquer lugar, então se u n defino se o NEW OU RELATED ou ESTABLISHED então o iptables define que aceita pacote independete do estado do pacote, eu não corcodo com isso mas tem gente que sim. :P