PDA

View Full Version : Политики по умолчанию для Iptables

Lupo_Alberto
25-02-2008, 10:22
Почему включение в роутере wl500gP "Internet Firewall" политика по умолчанию для iptables устанавливаются в ACCEPT?
На мой взгляд, правильнее всё запретить и добавить разрешения только на необходимое. Я очень уважаю мнение Oleg'а, но мне не понятно,с чем связана именно такая настройка Firewall на роутере?
Игорь
25-02-2008, 16:32
потому, что в случае запрета по умолчанию у многих пользователей не являющимися профессиональными линукс админами не будет шансов поработать в интернет. :)
djet
25-02-2008, 16:43
Политка - ACCEPT, но последнее правило - DROP. В чём премущество такого способа, пока не осознал.
Oleg
25-02-2008, 16:57
Почему включение в роутере wl500gP "Internet Firewall" политика по умолчанию для iptables устанавливаются в ACCEPT?
На мой взгляд, правильнее всё запретить и добавить разрешения только на необходимое. Я очень уважаю мнение Oleg'а, но мне не понятно,с чем связана именно такая настройка Firewall на роутере?
Потому что кроме ACCEPT/DROP есть ещё logaccept/logdrop, которые не могут использоваться в качестве дефолта.
Lupo_Alberto
26-02-2008, 00:53
Потому что кроме ACCEPT/DROP есть ещё logaccept/logdrop, которые не могут использоваться в качестве дефолта.
Возможно, я ошибаюсь, но политика по умолчанию это и есть то правило, которое применяется к пакетам, не удовлетворяющим ни одному из условий.
Т. е. нужно разрешить и залогировать в logaccept (если есть желание) только необходимые сервисы. Весь остальной траффик залогировать в logdrop (применяя, если надо, необходимые критерии - состояние соединения, флаги и т. д.). Далее применяется политика по умолчанию - DROP.

Политика "Всё что ЯВНО не разрешено - ЗАПРЕЩЕНО" считается более безопасной,чем "Всё РАЗРЕШЕНО, что ЯВНО не запрещено".

Меня ещё интересует такой вопрос, если в web-интерфейсе отключить Firewall, значит ли это, что политика iptables станет ACCEPT и не будет создано ни одного правила?