Iptables aceita política

Navegue suas respostas
1

Eu queria saber qual é a diferença entre aceitar e eliminar política no iptables.

Veja como eu acho que funciona:

A política de descarte eliminará todos os pacotes, exceto aqueles para os quais você cria regras. Então você abre a porta manualmente e outras portas estão fechadas. Aceitar política aceitará todos os pacotes, exceto aqueles para os quais você cria regras. Portanto, todas as portas em que atualmente alguns serviços estão funcionando estão abertas e outras estão fechadas.

Eu fiz algumas pesquisas e a maioria das pessoas descartam as políticas, porque é mais seguro. Eu acho que enquanto você sabe quais serviços você está executando, não há diferença alguma. Alguém pode me dizer se eu estou errado e explicar.

    
por sober 27.10.2016 / 16:43

3 respostas

1

De volta aos dias em que você permitia tudo e filtrava apenas algumas "coisas ruins" conhecidas. Isso é equivalente a usar a política ACCEPT. No entanto, esse modo de pensar não é mais uma boa prática. É muito fácil perder o bloqueio de algo que você não quer, e novos ataques, como os ataques DDOS de amplificação, se desenvolvem o tempo todo.

Como tal, a melhor prática é agora apenas permitir coisas específicas que você realmente precisa. O raciocínio é que você vai perceber se algo que deveria ser permitido não é. E por ter que permitir tudo manualmente você tem que pensar com mais cuidado sobre tudo. Isso é o equivalente da política DROP.

    
por 27.10.2016 / 17:43
0

Accept policy will accept all packets except those which you make rules for.

A declaração correta seria "Aceitar política aceitará todos os pacotes, exceto aqueles que você fizer rejeitar ou descartar regras para".

Em segundo lugar, por que é mais seguro ter uma política de descarte padrão?

Caso contrário, você deve criar uma regra de "rejeitar ou descartar" para qualquer pessoa para quem você não deseja conceder acesso.

Por exemplo, existem dois hosts X e Y que querem acesso ao seu servidor Z na porta 111. Então você quer aceitar X e negar Y para todos exceto X. Nesse caso você tem que criar duas regras (se você tiver política ACCEPT padrão):

  • se a origem for X na porta d 111 ACCEPT
  • se houver na porta d 111 DROP

Mas você tinha a política DROP padrão para criar apenas uma regra:

  • se a origem for X na porta d 111 ACCEPT

A queda padrão tratará de todo o resto.

Espero que isso ajude!

    
por 27.10.2016 / 16:58
-1

Não há mágica. Existe uma cadeia de regras e a linha última é ACCEPT ou DROP. Esse é o significado da política padrão. Minha opinião não é recomendada para usar a filtragem de portas em casos comuns. Execute apenas serviços em ips externos que você deseja alcançar e, em seguida, não é necessário filtrar as portas. isso é tudo.

    
por 27.10.2016 / 16:49

Tags

XenServer 6.5 - Falha ao criar imagens de disco virtual em um conjunto SR em uma unidade externa USB Problema de revogação de certificado VPN SSTP