Levantando iptables para un usuario común

Rodolfo Alcazar rodolfo.alcazar en padep.org.bo
Jue Dic 7 13:06:13 CLST 2006


On Wed, 2006-12-06 at 16:08 -0300, Horst H. von Brand wrote:
> Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
> mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
> erradas en la cabeza.

No lo creo. La mayoría de Firewalls (no solo iptables) usan reglas del
tipo DROP. DROP tiene propósitos muy importantes. Sirve para:

a) Minimizar tráfico basura: si respondes, REJECT, generas tráfico.
Puedes ser víctima de un ataque DOS (Denial Of Service).

c) Minimizar el uso de tu CPU. Generar la respuesta, toma un tiempo de
proceso. Si es una, no hay problema. Pero en un ataque BRUTE FORCE, te
consume recursos valiosos. Si el atacante es hábil, te refunde el
tráfico.

d) Dificultar el diagnóstico de puertos. Despistar al atacante. Retrasar
los intentos fallidos. Hacer creer al atacante que el puerto no está
abierto.

Si tus clientes quieren acceder a navegar la pagina web del servidor
DNS, van a quedarse esperando. Por supuesto. Para tu red local, usa
REJECT. Pero para las reglas externas, no gastes tus recursos
respondiendo inútilmente.

Saludos...
--
Rodolfo Alcazar - rodolfo.alcazar at padep.org.bo
Netzmanager Padep, GTZ
591-70656800, -22417628, LA PAZ, BOLIVIA
http://otbits.blogspot.com
--
Nicht über Programfeler ergern sondern ausbessern.




Más información sobre la lista de distribución Linux