iptables, política predeterminada vs reglas

12

¿Hay alguna diferencia en descartar paquetes no coincidentes con la política predeterminada frente -j DROPal final?

Me gusta:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

vs

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

La razón por la que me importa es porque no puedo crear una cadena con log y asignarla como política predeterminada, por lo que necesitaría usar el segundo ejemplo.

linux  iptables 
alguien
fuente
¿Qué estás tratando de registrar?
tftd
En general, cualquier cosa. Cuando estoy depurando iptables, se esconde y busca cuando no sé dónde o por qué se dejó caer.
alguien

Respuestas:

5

Desde un punto de vista técnico, No. El paquete se descarta de cualquier manera.

Pero Sirex es bastante correcto, ya que puede ser un poco doloroso si olvida algo importante al cambiar las reglas predeterminadas de la tabla.

Después de pasar un tiempo con IPTables, es probable que encuentre una preferencia y cree sus sistemas en torno a eso en su entorno.

Magallanes
fuente
5

Si. Si usa una política de DROP y luego se conecta a través de SSH y vacía la tabla ( iptables -F), se bloquea porque la política predeterminada no se vacía.

He hecho esto en un sistema remoto. Duele.

(Otra lección aprendida, si desea deshacerse del firewall por un tiempo, use service iptables stop, no iptables-F + service iptables reload)

Sin embargo, una política predeterminada probablemente sea más segura de ser más fácil de administrar. No puedes olvidarte de agregarlo al final.

Sirex
fuente
3

Tal vez otra cosa sobre este tema para aquellos que necesitan esta información como yo hace unas horas.

La última forma:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

no le permite agregar una regla más tarde (debido a que la regla agregada aparecerá después de la regla de caída universal y, por lo tanto, no tendrá ningún efecto), deberá insertar la regla con una declaración explícita de la posición deseada:

iptables -I INPUT 1 --dport 8080 -j ACCEPT

en vez de

iptables -A INPUT --dport 80 -j ACCEPT

Dependiendo de sus necesidades, puede ayudar un poco a la seguridad al exigirle a usted o lo que sea que agregue la regla que realmente siga las reglas existentes y no solo la agregue como de costumbre.

Este conocimiento que obtuve ayer mientras comprobaba durante veinte minutos por qué mi servicio recién instalado no responde a pesar de que todo está en funcionamiento.

Pavel
fuente
1

Las políticas predeterminadas son bastante limitadas, pero son un buen respaldo para garantizar que los paquetes no manejados se traten de la manera adecuada.

Si necesita (desea) registrar esos paquetes, necesita una regla final. Esta puede ser una cadena que registra y aplica la política. También puede simplemente iniciar sesión y dejar que la política lo maneje.

Considere estos enfoques de política y la regla de política final.

  • use y acepte la política y anule la política deseada como regla final. Esto puede protegerlo cuando administra un host en una ubicación remota. Si abandonas tus reglas, solo te queda tu línea de defensa secundaria como hosts.allow. Si deja caer su regla final, terminará en una configuración mayormente abierta o totalmente abierta.
  • establecer la política deseada y respaldarla con una regla de política final. Esto puede ser más seguro cuando tiene acceso físico o de consola a un host. Si deja sus reglas, pierde el acceso a todos los servicios a menos que la política sea ACEPTAR. Si abandonas tu regla final, aún estás protegido.
BillThor
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.