Qual é o propósito de negar o tráfego de entrada específico em firewalls?

3

Muitas regras de firewall comuns incluem várias linhas que bloqueiam tráfego de entrada específico. Tire isso do ipfw por exemplo:

# Fragments
$cmd 00420 deny all from any to any frag in via $pif

# ACK packets that did not match the dynamic rule table
$cmd 00430 deny tcp from any to any established in via $pif

No final, no entanto, costuma-se bloquear qualquer coisa que não corresponda a nenhuma das regras:

# Deny any other inbound traffic, with logging
$cmd 00998 deny log all from any to any in via $pif

# Deny any other traffic, with logging
$cmd 00999 deny log all from any to any

Como incluir o primeiro conjunto de regras traria algum benefício se, de qualquer forma, estivéssemos bloqueando todo o tráfego, como mostrado acima?

    
por Xen 15.03.2017 / 08:24

1 resposta

6

Eu não posso falar com ipfw , mas em iptables faz muito sentido, já que primeira partida de dispositiva ganha , e geralmente há regras permissivas entre as negações explícitas no o topo e o cobertor negam na parte inferior (a menos que você esteja construindo um dispositivo muito, muito silencioso!).

Então, por exemplo, se você deseja excluir explicitamente todos os marcianos , é necessário ter linhas como

iptables -A INPUT -s 10.0.0.0/8     -j DROP
iptables -A INPUT -s 172.16.0.0/12  -j DROP
iptables -A INPUT -s 192.168.0.0/16 -j DROP

antes de linhas como

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP

porque senão a linha ACCEPT para ssh permitirá aos marcianos antes que eles vejam o cobertor DENY.

Obrigado a Michael Hampton por estabelecer que a mesma lógica se aplica aos conjuntos de regras ipfw .

    
por 15.03.2017 / 08:33

Tags