DROP na INPUT e OUTPUT, é necessário?

magazine
(usa Debian)

Enviado em 17/07/2014 - 17:02h

Ola pessoal,

Tenho uma duvida sobre as chain INPUT e OUTPUT.
Elas servem apenas para tráfego de origem local do firewall, correto?

Faz alguma diferença eu colocar politica DROP na INPUT e OUTPUT se eu já estiver com política DROP na Forward?

stefaniobrunhara
(usa CentOS)

Enviado em 17/07/2014 - 17:16h

Imagine o seguinte o INPUT e o OUTPUT tem aplicação somente no servidor, já o forward e para as estações então faz diferença sim!

Se você der um input drop na porta 3389 e um forward na porta 3389

Seu servidor não conseguirá acessar endereços nenhum com esta porta, mas já as estaçoes vão conseguir.

magazine
(usa Debian)

Enviado em 17/07/2014 - 17:21h

No caso eu deixaria Accept tanto na INPUT quanto na OUTPUT.
Apenas a FORWARD eu deixaria DROP após eu ter feito todas as regras de liberações necessárias para FORWARD.

Minha duvida é se corro algum risco de segurança deixando a INPUT e OUTPUT em Accept visto que o Firewall não terá nenhuma aplicação além do iptables.

wagner7br
(usa Suse)

Enviado em 17/07/2014 - 23:44h

Magazine..

por regra (boas praticas), compensa vc deixar drop em tudo e ir liberando somente o que for necessário.

Caso vc deixe aberto é uma brecha. Mas isso vai dos ADM da rede.

Os meus equipamentos a regra por padrão é DROP em tudo e libero o que for necessário. Assim vc aprende e o melhor sempre vc terá que fazer as mudanças, liberações, fazendo com que não caia no esquecimento.

Não sei se respondi, mas caso não. poste mais detalhes, tipo "por que esta querendo deixar o INPUT e o OUTPUT accept.

Carlos_Cunha
(usa Linux Mint)

Enviado em 18/07/2014 - 00:00h

Respondendo sua pergunta se deixar INPUT como ACCEPT, corre risco sim, pois vc esta permitindo que qualquer use "chegue" ate a maquina, libere o input so para o que quer e paa ips que vc sabe.
Quanto ao OUTPUT, recomendo deixar ACCEPT mesmo.


INPUT - DESTINO DO PACOTE E A MAQUINA
OUTPUT - ELA E A ORIGEM DO PACOTE
FORWARD - PACOTE PASSA POR ELA

odinhatesawk
(usa Gentoo)

Enviado em 18/07/2014 - 00:09h

Isso só muda de cara (ter que deixar tudo accept e ir dropping o que for necessário) quando se está em rede bancária.
Praticamente todas as portas são randômicas, só as de controle não são.
Elas tem que ter DROP como regra (sim, tem que NEGAR a porta de controle) e tem que deixar o resto tudo em accept.
Não vou explicar como isso funciona pra segurança, porque não posso (cláusula contratual), mas é bem interessante.

magazine
(usa Debian)

Enviado em 18/07/2014 - 09:39h

Obrigado pessoal, tiraram minha duvida.

UbuntuServer
(usa Ubuntu)

Enviado em 10/08/2016 - 21:54h

É indispensável colocar DROP na INPUT pois se esta cadeia ficar aberta o ataque ao servidor fica fácil até para pessoas com pouco conhecimento de invasão. Com a política padrão da INPUT como DROP o servidor fica menos vulnerável. Para iniciantes seria bom deixar A INPUT e FORWARD com DROP e a OUTPUT com ACCEPT, para administradores de rede avançados é recomendável todas as cadeias com a política padrão como DROP, pois assim sendo, haverá um controle maior de tudo que entra e sai pela rede interna e pelo próprio servidor. Quando você tem esse domínio de saber quais portas ficam abertas para o servidor e rede interna, tipo 443, 80, 53, 25 ... a largura de banda é melhorada, visto que certas portas desnecessárias (tipo porta de jogos , chats, filmes ...) não iram ficar trafegando pacotes por causa da política DROP.