Ola pessoal,
Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?
Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?
Ola pessoal,
Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?
Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?
Arthur explanou já simples e facil, por exemplo se voce tem um proxy (squid porta padrao 3128) rodando neste servidor com o ip publico, e voce nao quer que ninguem externamente usem seu proxy (seja para o bem ou mal), voce pode negar isso através da chain INPUT (tudo que tem como chegar, destino o servidor)... Isso é um dos exemplos...
Att,
Fabiano.
Obrigado pessoal. No caso meu proxy fica atrás do FW em outro servidor sem redirecionamento de porta.
O servidor tem apenas o IPTABLES.
LINK Internet -> Firewall -> proxy -> Estações
No meu firewall eu faço as liberações necessárias de forward para as estações/servidores que ficam atrás dele e no fim coloco DROP na chain FORWARD.
Por exemplo: O servidor do proxy eu deixo liberado na forward para acessar a porta 80 e 443, e as estações tem proxy marcado no navegador através de GPO.
Aqui em nosso ambiente configuramos o drop no final da regras da chain Output, fizemos para um melhor controle mesmo do que sai do firewall. Realmente será bom verificar qual a realidade de seu ambiente. Serviços como e-Mail e a navegação do webProxy do firewall terão que ser liberados para saída.