Perguntas do FIREWALL relacionadas a IPTABLES:

Question

Perguntas do FIREWALL relacionadas a IPTABLES:

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Ao escrever um script iptables (1), se você pretende verificar endereços IP de origem inválidos, deve fazê-lo antes ou depois do tráfego estabelecido e aceito, e por quê?

iptables firewall

por kim 10.04.2011 / 01:50

2 respostas

Tags iptables firewall

Apache prefork.c e outras configurações Configurando o sftp simples em sandbox para um usuário

score 1 · Answer 1

Você deseja aceitar o tráfego estabelecido e relacionado primeiro. Isso geralmente será a maior parte do seu tráfego e você deseja processá-lo o mais rápido possível. As conexões precisarão ser aceitas por outras regras, antes que essa regra seja aplicada.

Se você está apenas aprendendo sobre firewalls do iptables, você pode querer usar um construtor de firewall para construir seu firewall para você. Isso ajudará você a obter as políticas e a configuração de regras comuns com o mínimo de esforço e provavelmente de melhor qualidade do que o código manual. Eu gosto de Shorewall , mas existem várias outras ferramentas disponíveis.

score 0 · Answer 2

Eu sempre faço uma verificação em relação a endereços de origem inválidos em -t raw -A PREROUTING . Por definição, -t raw ocorre antes de conntrack, então obviamente a verificação acontece antes da correspondência para RELATED,ESTABLISHED .

Meu raciocínio é que endereços de origem inválidos são lixo, e eu quero dedicar os ciclos de CPU da minha caixa de firewall ao não-lixo.

Sim, isso introduz latência adicionada ao tráfego válido, mas é praticamente indetectável, e minha caixa pode manter um throughput muito alto porque os pacotes de lixo não entopem os pipelines netfilter / xtables. Com algumas ramificações inteligentes, a latência pode ser reduzida significativamente;)