Uso da verificação do estado conntrack na cadeia INPUT

Question

Uso da verificação do estado conntrack na cadeia INPUT

#1 resposta do (0 votos)

1

Se eu quiser adicionar INPUT regras de firewall no meu servidor, as sugestões que eu vejo são as seguintes (porta 80 aqui, mas pode ser qualquer porta bem conhecida de qualquer outro serviço)

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Como isso é diferente de

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ie: qual é o benefício verificando o estado da conexão na cadeia INPUT , já que o servidor tem que servir qualquer requisição na porta 80?

iptables firewall linux

por Manohar 27.10.2016 / 19:48

1 resposta

Tags iptables firewall linux

ssh terminal continua desconectando em momentos aleatórios active directory não permitindo o login do Windows, no entanto, permite que o desktop remoto

score 0 · Answer 1

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Isso permitirá somente as sessões novas e estabelecidas na porta de destino 80 e não permitirá sessões relacionadas (iniciadas por outra sessão em execução) e inválidas. Então isso vai cair se alguém vier com um sinalizador não-SYN primeiro para uma nova conexão como um sinalizador ACK, para o qual uma redefinição seria enviada pelo servidor que eventualmente (se vier em alto número) pode sobrecarregar o processamento de servidores . Agora, como essa regra está descartando esses pacotes, é mais seguro.

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Onde a segunda regra não irá parar tais pacotes e, portanto, é menos segura do que a primeira.