DROP na INPUT e OUTPUT, é necessário?

[Magazine]

Ola pessoal,


Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?


Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?

[fbsalvi]

Arthur explanou já simples e facil, por exemplo se voce tem um proxy (squid porta padrao 3128) rodando neste servidor com o ip publico, e voce nao quer que ninguem externamente usem seu proxy (seja para o bem ou mal), voce pode negar isso através da chain INPUT (tudo que tem como chegar, destino o servidor)... Isso é um dos exemplos...

Att,

Fabiano.

[Magazine]

Obrigado pessoal. No caso meu proxy fica atrás do FW em outro servidor sem redirecionamento de porta.
O servidor tem apenas o IPTABLES.

[Magazine]

LINK Internet -> Firewall -> proxy -> Estações

No meu firewall eu faço as liberações necessárias de forward para as estações/servidores que ficam atrás dele e no fim coloco DROP na chain FORWARD.

Por exemplo: O servidor do proxy eu deixo liberado na forward para acessar a porta 80 e 443, e as estações tem proxy marcado no navegador através de GPO.

[droptux]

Aqui em nosso ambiente configuramos o drop no final da regras da chain Output, fizemos para um melhor controle mesmo do que sai do firewall. Realmente será bom verificar qual a realidade de seu ambiente. Serviços como e-Mail e a navegação do webProxy do firewall terão que ser liberados para saída.