+ Responder ao Tópico



  1. #1

    Padrão Polemica, o iptables é statefull????

    e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
    to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.

    então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?


    intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.

    abraço a todos.

  2. #2

    Padrão Polemica, o iptables é statefull????

    são as regras que tornam statefull, tem isso explicado certinho em algum canto lah na pagina deles mas não me recordo bem onde.

  3. #3

    Padrão Re: Polemica, o iptables é statefull????

    Citação Postado originalmente por Brenno
    to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.
    Nunca passei pela situação citada acima... você fez testes pra comprovar?

    [ ]'s

  4. #4

    Padrão Polemica, o iptables é statefull????

    eh facil, deixe seu fw assim:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT


    se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso

  5. #5

    Padrão Polemica, o iptables é statefull????

    Citação Postado originalmente por 1c3_m4n
    eh facil, deixe seu fw assim:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT


    se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
    justamente, falei isso pq as pessoas que dizem que o firewall é statefull sem depender de regras, EX:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    a segunda regra não to expecificando o -i que é a interface, então o iptables define que é pra todas interface já que eu não esperfiquei, o mesmo ocorre com -s e o -d que search destination, se u não experficico, então o iptables define que eh anywhere qualquer lugar, então se u n defino se o NEW OU RELATED ou ESTABLISHED então o iptables define que aceita pacote independete do estado do pacote, eu não corcodo com isso mas tem gente que sim. :P

  6. #6

    Padrão Polemica, o iptables é statefull????

    isso eh meio ilusorio, por exemplo nas regras q vc passou:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    ele vai aceitar qq tipo de estado na porta 80, mas as pessoas se esquecem de que o trafego nao vai ficar soh na porta 80, a maioria dos programas abrem outras portas aleatorias para o trafego, e como vc tem -P INPUT DROP essas outras portas abertas dinamicamente vao ficar bloqueadas e consequentemente o trafego :P

  7. #7

    Padrão Polemica, o iptables é statefull????

    Citação Postado originalmente por 1c3_m4n
    eh facil, deixe seu fw assim:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT


    se tiver soh assim e nao tiver a regra de state vc nao vai conseguir visualizar nada, pq o firewall vai deixar vc somente se conectar (syn) mas nao deixa o trafego passar pq nao tem nada liberando isso
    Entendo, mas foi você quem definiu que somente seria possível fazer a primeira parte do handshake (Syn, Syn/ACK e ACK, nesse caso só o Syn).
    Caso a segunda regra fosse:
    Código :
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    Funcionaria corretamente.

  8. #8

    Padrão Polemica, o iptables é statefull????

    errrr, leia meu outro post, em alguns casos pode ateh funcionar, mas nao em todos

  9. #9

    Padrão Re: Polemica, o iptables é statefull????

    Citação Postado originalmente por Brenno
    e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
    to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.

    então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?


    intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.

    abraço a todos.
    A arquitetura NETFILTER é Statefull...

    Você pode pelo frontend IPTABLES, usar regras para atuar seu firewall como packet filter, stateless e statefull.

    []'s

    Marcos Pitanga

  10. #10

    Padrão Re: Polemica, o iptables é statefull????

    Citação Postado originalmente por pitanga
    Citação Postado originalmente por Brenno
    e ae pessoal, o iptables é statefull ou sua arquiterua é statefull?
    to perguntando isso pois se vc tem servidor apache rodando no seu firewall e liberar o acesso no firewall ninguém consiguirá acessar o seu servidor se não tiver a regra -m state --state RELATED,ESTABLISHED -j ACCEPT nada irá funcionar.

    então eu pergunto, o iptables é statefull ou as regras que tornam ele statefull?


    intuito desse topico é abragir cada vez mais nossos conhecimentos na ferramenta iptables.

    abraço a todos.



    A arquitetura NETFILTER é Statefull...

    Você pode pelo frontend IPTABLES, usar regras para atuar seu firewall como packet filter, stateless e statefull.

    []'s

    Marcos Pitanga
    ou seja, o que tonar o firewall statefull são as regras, correto?

  11. #11

    Padrão Re: Polemica, o iptables é statefull????

    Citação Postado originalmente por Brenno
    ou seja, o que tonar o firewall statefull são as regras, correto?
    Sim senhor.

  12. #12

    Padrão Re: Polemica, o iptables é statefull????

    Acredito q as regras podem deixar ele statefull

  13. #13

    Padrão Re: Polemica, o iptables é statefull????

    Exato, acho que jah foi mto bem explicado isso, existe a flexibilidade dele ser stateful , stateless e porai vai... jah o ipchains nao poderia ser stateful, isso era uma grande diferenca. Acho que jah deu para sacar, um firewall sem regras nao é firewall nem stateful nem stateless nem nada.... apenas roteia os pacotes certo?

    entretanto nao saquei a da polemica, sorry.