Abrindo para fazer funcionar ... depois nunca mais voltar e bloquear qualquer coisa.
Quais são algumas das maneiras mais comuns e erradas de configurar um firewall? Vou começar a lista com o seguinte:
Blindando cegamente o ICMP . Esta era uma prática comum em 1998, quando os ataques de smurf eram toda a raiva. Hoje você corre o risco de criar um buraco negro PMTU e dificultar o diagnóstico de problemas. Se você precisar bloquear o ICMP, pelo menos, permita a fragmentação necessária e responda / envie solicitações de eco.
Regras antigas . É uma pena que não podemos definir uma data de expiração nas regras. Quando migro um serviço, muitas vezes esqueço-me de remover as regras do serviço antigo.
Abrindo para fazer funcionar ... depois nunca mais voltar e bloquear qualquer coisa.
Após o exemplo de João - não usar comentários contra regras se o seu firewall os aceitar .
Não há nada pior do que ver um firewall pela primeira vez e ver todo tipo de regras estranhas que não fazem sentido a olho nu, e os comentários estão em branco e não há documentação.
Sobre o assunto das regras obsoletas, de acordo com o seu exemplo - Documentação e procedimentos adequados ELIMINARÃO tais questões. Eu sugiro que o seu problema não esteja no firewall.
Pessoalmente, considero a divisão de regras de entrada e saída em dois grupos principais como um antipadrão. Ter que lidar com dois grupos enormes é um pesadelo. Eu prefiro agrupar regras para tráfego de entrada e saída relacionado a um determinado protocolo / aplicativo. Desta forma é muito mais fácil gerenciá-los.
Mova o problema para outro lugar.
por exemplo. O firewall de PCs locais está impedindo que algum serviço ou aplicativo funcione, portanto, desative-o completamente e diga "o firewall no roteador de borda estará ok para proteger todos os PCs".
Elaboração e manutenção manual dos mesmos.
Scripts antigos de terceiros que "funcionam bem o suficiente para que não nos incomodemos em substituí-los", exigem edição manual em vez de usar arquivos de configuração e são completamente incompreensíveis para pessoas que não leram a tese descrevendo como funcionam.
Tags firewall