Qual é a situação que requer firewall com estado?

Hoje em dia, há uma resposta muito simples a essa pergunta: todos os firewalls adequados agora são stateful.

regras com estado simplificam bastante o design da política de firewall e melhoram a segurança. HTTP e SSH funcionam com sessões tcp desde que usam porta única. Qualquer firewall com monitoração de estado pode manipular isso e tudo o que você precisa fazer é gravar uma regra para permitir que o pacote original abra a sessão e outra regra permita pacotes de resposta que correspondam aos estados conhecidos. No caso do iptables, o último se parece com

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

(assumindo que o firewall seja executado no servidor, portanto, encadeie o INPUT).

Protocolos mais complexos, como por exemplo o ftp, podem exigir várias sessões e o mecanismo de estado no firewall precisa ser capaz de rastrear essas sessões separadas para corresponder aos pacotes. Geralmente, os firewalls com monitoração de estado suportam a maioria dos protocolos populares, mas é improvável que eles suportem protocolos personalizados. O problema com protocolos customizados não é que eles usem portas tcp ou udp exclusivas, mas podem usar várias conexões que são dinamicamente criadas e derrubadas. O firewall pode abrir e fechar dinamicamente "buracos" para o canal de dados FTP, pois ele pode rastrear e interpretar os comandos que fluem através do canal de comando fto. Se o protocolo for proprietário e exclusivo, o firewall não poderá interpretá-lo e, para fazê-lo funcionar, você terá que criar regras sem estado e tentar torná-las tão restritas quanto o protocolo permitir.

No entanto, se o protocolo usa conexão tcp única, a regra stateful funcionará bem.

A única vez que você possivelmente precisará de um firewall sem estado atualmente é para melhorar o desempenho da velocidade.