Status related established

hunter2800aa
(usa Debian)

Enviado em 16/09/2025 - 12:19h

Boa tarde galera, gostaria de saber a opinião de vcs pq eu sempre usei o Status RELATED ESTABLISHED apenas com INPUT e OUTPUT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

E gostaria de saber se vcs costumam tbm usar na cadeia FORWARD quando é um servidor de navegação, pq eu nunca usei.
No ChatGPT disse que é uma boa pratica usar sim, mas gostaria de saber como vcs costumam fazer!!!

Buckminster
(usa Debian)

Enviado em 16/09/2025 - 14:51h

filter :: Esta é a tabela padrão (se a opção "-t" não definir outra tabela, será utilizada esta tabela). Ela contém a chain "built-in INPUT" (entrada - para pacotes destinados a sockets locais, pacotes destinados para a própria máquina), FORWARD (para pacotes sendo roteados através da máquina, pacotes que passam pela máquina) e OUTPUT (para pacotes gerados localmente, pacotes oriundos da própria máquina com destino para fora dela).
https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

state :: Este módulo, quando combinado com rastreamento de conexão, permite o acesso ao estado de rastreamento de conexão para este pacote.

[!] --state state :: Onde o estado é uma lista separada por vírgulas dos estados de conexão. Estados possíveis são "established" que significa que o pacote está associado a uma conexão que viu pacotes em ambas direções, "new" significa que o pacote começou uma nova conexão ou de outra forma está associado a uma conexão que não viu pacotes em ambos os sentidos e "related" significa que o pacote está começando uma nova conexão, mas está associado a uma conexão existente, como um ftp de transferência de dados ou um erro ICMP.
https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=3

Use assim:
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Use NEW somente em INPUT e OUTPUT.

Apesar de que o mais moderno é:

iptables -A INPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Use um ou outro, não os dois [conntrack e state] ao mesmo tempo, mas você tem de criar regras para registrar logs também, senão perde um pouco da lógica de rastreamento de pacotes que esses comandos fazem.

Sugiro migrar para o NFTables, o sucessor do Iptables segundo os mesmos desenvolvedores e, na minha opinião, bem melhor:
https://www.netfilter.org/projects/nftables/index.html


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 16/09/2025 - 16:07h

Muito obrigado pela aula Buckminster!!!

Vou começar a estudar o nftables entao!!!!