Polemica, o iptables é statefull????
e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?
intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.
abraço a todos.
Polemica, o iptables é statefull????
são as regras que tornam statefull, tem isso explicado certinho em algum canto lah na pagina deles mas não me recordo bem onde.
Re: Polemica, o iptables é statefull????
Citação:
Postado originalmente por Brenno
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
Nunca passei pela situação citada acima... você fez testes pra comprovar?
[ ]'s
Polemica, o iptables é statefull????
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
Polemica, o iptables é statefull????
Citação:
Postado originalmente por 1c3_m4n
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
justamente, falei isso pq as pessoas que dizem que o firewall é statefull sem depender de regras, EX:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
a segunda regra não to expecificando o -i que é a interface, então o iptables define que é pra todas interface já que eu não esperfiquei, o mesmo ocorre com -s e o -d que search destination, se u não experficico, então o iptables define que eh anywhere qualquer lugar, então se u n defino se o NEW OU RELATED ou ESTABLISHED então o iptables define que aceita pacote independete do estado do pacote, eu não corcodo com isso mas tem gente que sim. :P
Polemica, o iptables é statefull????
isso eh meio ilusorio, por exemplo nas regras q vc passou:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
ele vai aceitar qq tipo de estado na porta 80, mas as pessoas se esquecem de que o trafego nao vai ficar soh na porta 80, a maioria dos programas abrem outras portas aleatorias para o trafego, e como vc tem -P INPUT DROP essas outras portas abertas dinamicamente vao ficar bloqueadas e consequentemente o trafego :P
Polemica, o iptables é statefull????
Citação:
Postado originalmente por 1c3_m4n
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
Entendo, mas foi você quem definiu que somente seria possível fazer a primeira parte do handshake (Syn, Syn/ACK e ACK, nesse caso só o Syn).
Caso a segunda regra fosse:
Código :
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Funcionaria corretamente.
Polemica, o iptables é statefull????
errrr, leia meu outro post, em alguns casos pode ateh funcionar, mas nao em todos
Re: Polemica, o iptables é statefull????
Citação:
Postado originalmente por Brenno
e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?
intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.
abraço a todos.
A arquitetura NETFILTER é Statefull...
Você pode pelo frontend IPTABLES, usar regras para atuar seu firewall como packet filter, stateless e statefull.
[]'s
Marcos Pitanga
Re: Polemica, o iptables é statefull????
Citação:
Postado originalmente por pitanga
Citação:
Postado originalmente por Brenno
e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?
intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.
abraço a todos.
A arquitetura NETFILTER é Statefull...
Você pode pelo frontend IPTABLES, usar regras para atuar seu firewall como packet filter, stateless e statefull.
[]'s
Marcos Pitanga
ou seja, o que tonar o firewall statefull são as regras, correto?
Re: Polemica, o iptables é statefull????
Citação:
Postado originalmente por Brenno
ou seja, o que tonar o firewall statefull são as regras, correto?
Sim senhor.
Re: Polemica, o iptables é statefull????
Acredito q as regras podem deixar ele statefull
Re: Polemica, o iptables é statefull????
Exato, acho que jah foi mto bem explicado isso, existe a flexibilidade dele ser stateful , stateless e porai vai... jah o ipchains nao poderia ser stateful, isso era uma grande diferenca. Acho que jah deu para sacar, um firewall sem regras nao é firewall nem stateful nem stateless nem nada.... apenas roteia os pacotes certo?
entretanto nao saquei a da polemica, sorry.