Versão Imprimível
e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?
intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.
abraço a todos.
são as regras que tornam statefull, tem isso explicado certinho em algum canto lah na pagina deles mas não me recordo bem onde.
Nunca passei pela situação citada acima... você fez testes pra comprovar?Citação:
Postado originalmente por Brenno
[ ]'s
eh facil, deixe seu fw assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
justamente, falei isso pq as pessoas que dizem que o firewall é statefull sem depender de regras, EX:Citação:
Postado originalmente por 1c3_m4n
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
a segunda regra não to expecificando o -i que é a interface, então o iptables define que é pra todas interface já que eu não esperfiquei, o mesmo ocorre com -s e o -d que search destination, se u não experficico, então o iptables define que eh anywhere qualquer lugar, então se u n defino se o NEW OU RELATED ou ESTABLISHED então o iptables define que aceita pacote independete do estado do pacote, eu não corcodo com isso mas tem gente que sim. :P
isso eh meio ilusorio, por exemplo nas regras q vc passou:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
ele vai aceitar qq tipo de estado na porta 80, mas as pessoas se esquecem de que o trafego nao vai ficar soh na porta 80, a maioria dos programas abrem outras portas aleatorias para o trafego, e como vc tem -P INPUT DROP essas outras portas abertas dinamicamente vao ficar bloqueadas e consequentemente o trafego :P
Entendo, mas foi você quem definiu que somente seria possível fazer a primeira parte do handshake (Syn, Syn/ACK e ACK, nesse caso só o Syn).Citação:
Postado originalmente por 1c3_m4n
Caso a segunda regra fosse:
Funcionaria corretamente.Código :
errrr, leia meu outro post, em alguns casos pode ateh funcionar, mas nao em todos
A arquitetura NETFILTER é Statefull...Citação:
Postado originalmente por Brenno
Você pode pelo frontend IPTABLES, usar regras para atuar seu firewall como packet filter, stateless e statefull.
[]'s
Marcos Pitanga
ou seja, o que tonar o firewall statefull são as regras, correto?Citação:
Postado originalmente por pitanga
Sim senhor.Citação:
Postado originalmente por Brenno
Acredito q as regras podem deixar ele statefull
Exato, acho que jah foi mto bem explicado isso, existe a flexibilidade dele ser stateful , stateless e porai vai... jah o ipchains nao poderia ser stateful, isso era uma grande diferenca. Acho que jah deu para sacar, um firewall sem regras nao é firewall nem stateful nem stateless nem nada.... apenas roteia os pacotes certo?
entretanto nao saquei a da polemica, sorry.