Olá pessoal, Estou com uma dúvida em relação a maneira como as chains são interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma chain INPUT aceitando um tráfego cujo o endereço IP de origem foi especificado. Os IP's restantes foram descartados com o target DROP. Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir uma nova chain INPUT para filtrar os pacotes que chegam por um segundo endereço. Dúvida: posso simplesmente escrever sequencialmente uma nova chain mesmo que ela tenha sido anteriormente negada?
ex: #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP //adicionando um novo endereço para acesso #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP 1 - o iptables aceita esse tipo de "retalho"? 2 - é elegante escrever regras de firewall onde a cada momento que apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu "acorrentar" as regras dessa maneira? 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada já que o pacote vai ser descartado de qualquer maneira (acho!) quando não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem? Um grande abraço a todos, Romulo Sousa