Levantando iptables para un usuario común

Horst H. von Brand vonbrand en inf.utfsm.cl
Sab Dic 9 21:44:25 CLST 2006 

Rodolfo Alcazar <rodolfo.alcazar en padep.org.bo> wrote:
> On Wed, 2006-12-06 at 16:08 -0300, Horst H. von Brand wrote:
> > Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
> > mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
> > erradas en la cabeza.

> No lo creo. La mayoría de Firewalls (no soloree iptables) usan reglas del
> tipo DROP. DROP tiene propósitos muy importantes. Sirve para:

> a) Minimizar tráfico basura: si respondes, REJECT, generas tráfico.

Claro.

> Puedes ser víctima de un ataque DOS (Denial Of Service).

Si te revientan por demasiado trafico, el generar respuestas no sera
precisamente tu mayor problema...

> c) Minimizar el uso de tu CPU. Generar la respuesta, toma un tiempo de
> proceso. Si es una, no hay problema. Pero en un ataque BRUTE FORCE, te
> consume recursos valiosos. Si el atacante es hábil, te refunde el
> tráfico.

Idem.

> d) Dificultar el diagnóstico de puertos.

Para nada.

>                                          Despistar al atacante.

Si el atacante es hasta el script kiddie mas vergonzosamente novato, igual
usara nmap o afines. Cero efecto.

>                                                                 Retrasar
> los intentos fallidos.

... perjudicando a quienes legitimamente se equivocan (i.e., intentan
conectarse via HTTP a ftp.example.org "por si lo maneja tambien" (si, es
bastante comun), etc).

>                        Hacer creer al atacante que el puerto no está
> abierto.

Ver arriba.

> Si tus clientes quieren acceder a navegar la pagina web del servidor
> DNS, van a quedarse esperando. Por supuesto. Para tu red local, usa
> REJECT. Pero para las reglas externas, no gastes tus recursos
> respondiendo inútilmente.

Hay una cosa llamada "cortesia minima". Segun ese criterio, para que
saludar, o dar las gracias?
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513

Más información sobre la lista de distribución Linux