Em iptables, o estado ESTABLISHED requer um estado posterior NEW para fazer uma conexão ESTABLISHED?

1

Ao usar a seguinte regra:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

... você precisa adicionar regras específicas, incluindo os NEW states para permitir uma ESTABLISHED de conexão?

Assim:

iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 

... ou as conexões estabelecidas são feitas simplesmente por ACCEPTING delas?

Eu li vários tutoriais sobre isso, e não consigo encontrar esse esclarecimento em lugar nenhum.

    
por RandomPleb 19.03.2015 / 20:56

2 respostas

1

Normalmente, o estado NEW será usado para filtrar casos que você não deseja ver como o primeiro pacote de um fluxo.

Por exemplo:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Largará tudo que não se parece com um pacote SYN do TCP válido.

Se o seu caso de uso permitir que o mundo se conecte à porta do servidor 443, permita que o servidor responda e a conexão seja estabelecida, você precisará adicionar a segunda regra, mas o estado NEW não é obrigatório .

Assim, sua configuração pode ser:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ou

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ou (melhor)

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
por 19.03.2015 / 22:45
0

Seria o suficiente apenas fazer:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

É claro que, por não aceitar conexões, você já precisa ter a política definida como DROP ou ter uma regra para DROP todo o resto.

    
por 19.03.2015 / 21:52

Tags