Por que uma regra ACK de permissão geral no iptables é boa?

1

Eu encontrei algumas configurações do iptables com regras de entrada começando com uma regra que permite todos os pacotes TCP com o sinalizador ACK, seguido por todas as regras de porta do serviço obvius. Por que é que? O servidor ainda responde com esta regra desativada. Existe uma aceitação útil do ACK para outros ports e depois para os serviços servidos?

    
por dronus 27.02.2014 / 14:26

1 resposta

0

A pessoa que projetou o firewall é provavelmente a melhor pessoa para responder a pergunta why is this here? .

Se eu fizer uma tentativa de encontrar um caso de uso útil:

Premissa: Os pacotes TCP com o sinalizador ACK são comuns

Premissa: deixará de avaliar na primeira regra ACCEPT, DROP, REJECT, etc.. correspondente

Suposição: pacotes ACK são inofensivos

#Accept any TCP Acknowlegements and let the OS / Service handle any issues
-A INPUT -m tcp -p tcp --tcp-flags ACK -j ACCEPT

-A INPUT -m tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m tcp -p tcp -m state --state NEW --dport 80 -j ACCEPT
...
...
-A INPUT -j DROP

Conclusão: As declarações do ACK podem ter sido adicionadas para aumentar o desempenho do Firewall.

Eu não tenho nenhum benchmarking para apoiar tal suposição.

    
por 27.02.2014 / 17:54

Tags