Apories firewall

[Alex Chontzopoulos]

Δεν είναι ακριβώς έτσι.. Αυτό που χρειάζεσαι ονομάζετε Statefull Filtering.
ΠΑΡΑΔΕΙΓΜΑ:
:input DROP
:forward DROP
:output DROP


-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 80,21,443,20,8080,3128

Με τα παραπάνω ενώ του λέμε ότι σαν default πολιτική (εάν δλδ. ΔΕΝ κάνει match το πακέτο στους κανόνες της αλυσίδας) να τα κάνει drop, του λέμε επείσης ότι άφηνε να μπαίνουν όσα πακέτα έχουν να κάνουν με αρχικά δικά μας πακέτα (τα προς τα έξω δλδ)


έτσι χρησιμοποιόντας το state του πακέτου δεν χρειάζετε να ανοίξεις κανένα port στην Input αλυσίδα. Του λές μόνο τι θέλεις να βγαίνει προς τα έξω και αφήνεις να περάσουν μέσα μόνο οι απαντήσεις των πακέτων σου.



-----Original Message-----
From: Antonios Christofides [mailto:anthony at itia.ntua.gr] 
Sent: Thursday, September 01, 2005 5:52 PM
To: Alex Chontzopoulos
Cc: linux-greek-users at lists.hellug.gr
Subject: Re: Apories firewall

> Γειά χαρά. Προσωπικά θα σου πρότεινα να κάνεις default πολιτική των
> chains to DROP. Έτσι θα έχεις ακριβώς πλήρη έλεγχο το τι
> περνάει-φεύγει στο-από το μηχάνημα σου. Εσύ αυτή την στιγμή κάνεις
> DENY αυτά που κάνεις και από εκεί και πέρα αφήνεις τα υπόλοιπα να
> περάσουν..

Είμαι καινούργιος στους firewalls και δεν ξέρω τις πρακτικές, αλλά ναι
μεν έχω default το accept, έχω όμως και ένα κανόνα που κάνει drop τα
ports 0:1023. Αν είχα default το accept, πάλι θα έπρεπε να κάνω ένα
τεράστιο accept στα 1024:65535, και δεν βλέπω η μια τεχνική να
πλεονεκτεί σε κάτι σε σχέση με την άλλη.