DROP na INPUT e OUTPUT, é necessário?

1. DROP na INPUT e OUTPUT, é necessário?

Joaquim
magazine

(usa Debian)

Enviado em 17/07/2014 - 17:02h

Ola pessoal,

Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?

Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?


  


2. Re: DROP na INPUT e OUTPUT, é necessário?

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 17/07/2014 - 17:16h

magazine escreveu:

Ola pessoal,

Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?

Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?



Imagine o seguinte o INPUT e o OUTPUT tem aplicação somente no servidor, já o forward e para as estações então faz diferença sim!

Se você der um input drop na porta 3389 e um forward na porta 3389

Seu servidor não conseguirá acessar endereços nenhum com esta porta, mas já as estaçoes vão conseguir.



3. Re: DROP na INPUT e OUTPUT, é necessário?

Joaquim
magazine

(usa Debian)

Enviado em 17/07/2014 - 17:21h

No caso eu deixaria Accept tanto na INPUT quanto na OUTPUT.
Apenas a FORWARD eu deixaria DROP após eu ter feito todas as regras de liberações necessárias para FORWARD.

Minha duvida é se corro algum risco de segurança deixando a INPUT e OUTPUT em Accept visto que o Firewall não terá nenhuma aplicação além do iptables.


4. Re: DROP na INPUT e OUTPUT, é necessário?

Wagner Luiz Costa Serrador
wagner7br

(usa Suse)

Enviado em 17/07/2014 - 23:44h

Magazine..

por regra (boas praticas), compensa vc deixar drop em tudo e ir liberando somente o que for necessário.

Caso vc deixe aberto é uma brecha. Mas isso vai dos ADM da rede.

Os meus equipamentos a regra por padrão é DROP em tudo e libero o que for necessário. Assim vc aprende e o melhor sempre vc terá que fazer as mudanças, liberações, fazendo com que não caia no esquecimento.

Não sei se respondi, mas caso não. poste mais detalhes, tipo "por que esta querendo deixar o INPUT e o OUTPUT accept.



5. Re: DROP na INPUT e OUTPUT, é necessário?

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 18/07/2014 - 00:00h

magazine escreveu:

No caso eu deixaria Accept tanto na INPUT quanto na OUTPUT.
Apenas a FORWARD eu deixaria DROP após eu ter feito todas as regras de liberações necessárias para FORWARD.

Minha duvida é se corro algum risco de segurança deixando a INPUT e OUTPUT em Accept visto que o Firewall não terá nenhuma aplicação além do iptables.


Respondendo sua pergunta se deixar INPUT como ACCEPT, corre risco sim, pois vc esta permitindo que qualquer use "chegue" ate a maquina, libere o input so para o que quer e paa ips que vc sabe.
Quanto ao OUTPUT, recomendo deixar ACCEPT mesmo.


INPUT - DESTINO DO PACOTE E A MAQUINA
OUTPUT - ELA E A ORIGEM DO PACOTE
FORWARD - PACOTE PASSA POR ELA


6. Re: DROP na INPUT e OUTPUT, é necessário?

Rafael
odinhatesawk

(usa Gentoo)

Enviado em 18/07/2014 - 00:09h

wagner7br escreveu:

Magazine..

por regra (boas praticas), compensa vc deixar drop em tudo e ir liberando somente o que for necessário.

Caso vc deixe aberto é uma brecha. Mas isso vai dos ADM da rede.

Os meus equipamentos a regra por padrão é DROP em tudo e libero o que for necessário. Assim vc aprende e o melhor sempre vc terá que fazer as mudanças, liberações, fazendo com que não caia no esquecimento.

Não sei se respondi, mas caso não. poste mais detalhes, tipo "por que esta querendo deixar o INPUT e o OUTPUT accept.


Isso só muda de cara (ter que deixar tudo accept e ir dropping o que for necessário) quando se está em rede bancária.
Praticamente todas as portas são randômicas, só as de controle não são.
Elas tem que ter DROP como regra (sim, tem que NEGAR a porta de controle) e tem que deixar o resto tudo em accept.
Não vou explicar como isso funciona pra segurança, porque não posso (cláusula contratual), mas é bem interessante.


7. Re: DROP na INPUT e OUTPUT, é necessário?

Joaquim
magazine

(usa Debian)

Enviado em 18/07/2014 - 09:39h

Obrigado pessoal, tiraram minha duvida.


8. Re: DROP na INPUT e OUTPUT, é necessário?

Anderson Gomes
UbuntuServer

(usa Ubuntu)

Enviado em 10/08/2016 - 21:54h

É indispensável colocar DROP na INPUT pois se esta cadeia ficar aberta o ataque ao servidor fica fácil até para pessoas com pouco conhecimento de invasão. Com a política padrão da INPUT como DROP o servidor fica menos vulnerável. Para iniciantes seria bom deixar A INPUT e FORWARD com DROP e a OUTPUT com ACCEPT, para administradores de rede avançados é recomendável todas as cadeias com a política padrão como DROP, pois assim sendo, haverá um controle maior de tudo que entra e sai pela rede interna e pelo próprio servidor. Quando você tem esse domínio de saber quais portas ficam abertas para o servidor e rede interna, tipo 443, 80, 53, 25 ... a largura de banda é melhorada, visto que certas portas desnecessárias (tipo porta de jogos , chats, filmes ...) não iram ficar trafegando pacotes por causa da política DROP.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts