Ordem INPUT OUTPUT FORWARD

rodrigom
(usa Debian)

Enviado em 01/01/2011 - 23:57h

Boa noite colegas.

Quando estou definindo a configuração de FW Iptables, se as tabelas, serão DROP ou ACCEPT:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

é diferente de:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Tipo de eu fizer toda a configuração e mudar a ordem do OUTPUT e do FORWARD, faz diferença ?

Abraço.

tlaloc
(usa Gentoo)

Enviado em 02/01/2011 - 02:52h

Não, porque a ordem de processamento não é a ordem que você digita e sim a ordem que o IPTables interpreta.

tlaloc
(usa Gentoo)

Enviado em 02/01/2011 - 03:01h

Para explicar melhor...

dependendo de onde está vindo o pacote, ele tem uma ordem de tratamento diferente.

Se ele está vindo da rede para a nossa máquina por alguma interface, o IPTables trata ele da seguinte maneira:

mangle/PREROUTING, nat/PREROUTING, mangle/INPUT, filter/INPUT.
(tabela/chain)

Se ele está saindo do nosso PC por alguma interface, o IPTables trata ele da seguinte maneira:

mangle/OUTPUT, nat/OUTPUT filter/OUTPUT, mangle/POSTROUTING, nat/POSTROUTING.
(tabela/chain)

mangle/PREROUTING, nat/PREROUTING, mangle/FORWARD, filter/FORWARD, mangle/POSTROUTING, nat/POSTROUTING.
(tabela/chain)

Você tem de ter estas ordens em mente quando for definir suas regras de firewall.
Qualquer dúvida, posta aí.