Em Quinta 25 Janeiro 2007 12:34, Maxwillian Miorim escreveu: > On 1/25/07, badfile <[EMAIL PROTECTED]> wrote: > > Estou acompanhando o tópico, para me ajudar a entender o iptables. > > O Squid trabalha pela ordem das acls e o iptables por cadeia. > > O que seria uma cadeia? Se eu dropo tudo no início, como raciocinar para > > colocar as regras na ordem correta? Estou pesquisando, mas Isso ainda não > > entendi. > > Peço às boas almas que me retirem da escuridão... > > O iptables trabalha como uma pilha: as regras são empilhadas em grupos > chamados chains e depois são processadas "de cima para baixo" (se tu é > programador seria um stack, literalmente), havendo bloqueio ou > liberação explicita o pacote é liberado. > > Cadeias e chains são a mesma coisa: grupos de regras ordenadas. > > A política DROP (acho que foi isso que tu quis dizer com "se eu dropo > tudo no início") faz o seguinte: depois de processar todas as regras, > se não houver nenhuma ação, a ação tomada é o DROP. Há casos, como o > henrique citou, em que colocando o DROP (explicitamente, na forma de > regra e não política) no fim das regras facilita muito a vida dos > "desavisados", assim quando limpar as regras, com iptables -F, por > exemplo, não haverá nada restringindo pois a ação padrão é ACCEPT. > Além disso, com a regra ativa e posicionada após as demais continua > bloqueando da mesma forma, é só uma "prevenção a acidentes de > trabalho". :D
sim sim sim !!! exatamente isso, é acidente de trabalho mesmo..rssrsrsrsrsrs vai depender do seu cenário, é como usar a linguagem pra dizer a mesma idéia, não necessariamente com as mesmas palavras. Por exemplo, 1 - João comprou 10 paes. 2 -10 pães foram comprados por João 3 - Tonico, o vendedor da padaria, vendeu 10 pães pro João. 4 - João e seus 9 filhos comeram os pães que João comprou na padaria vendidos por Tonico. em todas as frases, construídas de maneira totalmente diferente, a idéia prevalece a mesma. Em algumas, existe mais informação, em outras, menos. Mas a idéia central é a mesma. João adquiriu pães. No caso do iptables, podemos pensar assim, sentenças positivas(regras liberativas) em um texto negativo (política DROP), OU sentenças negativas (regras negativas) em um texto positivo (politica ACCEPT). Existe também o cenário a que eu me referi, onde o texto é positivo, com regras liberativas, e uma unica regra ao final, dizendo o equivalente a "se não foi especificado positivamente, então, está negado". O que eu vejo sempre é redundância em exemplos espalhados pela net. Se o seu firewall tem política DROP, não precisa, em teoria, de regras DENY, somente de regras ACCEPT, porque pela política DROP, tudo o que não for explicitamente liberado já está automaticamente bloqueado. Isso me confundiu bastante no passado, olhar firewalls "frankstéinicos", um pedaço vindo de cada canto, mas que não faziam mto sentido globalmente caso eu lesse a documentação. Agora, respondendo a sua pergunta, é: depende. Eu costumo usar a ação -j LOG --prefix " ALGUMACOISA: " antes de mandar qualquer regra deny ou reject, ou seja, o syslog vai me informar o que ele bloqueou. Mas tem também quem goste de usar tcpdump, netdiag, ethereal, e por ai vai. É apenas uma questão de ferramentaria. Quando eu entendi que diferentes pessoas, com os mesmos objetivos e necessidades, podiam escrever firewalls de diferentes maneiras, respeitando os estilos individuais e gostos de cada um, dai eu pude dizer "YES, eu sei firewall". (E logo depois o meu chefe disse: " - SHOW ME". Foi uma boa luta, ainda estou me recuperando dos machucados) :D [ ]s, Henry _______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/
