iptables

Horst H. von Brand vonbrand en inf.utfsm.cl
Vie Nov 17 19:04:45 CLST 2006


Wilson Acha <acha.wilson en gmail.com> wrote:
> Aprovechando el tema de iptables, tambien he experimentado algunos
> problemas en un escenario parecido al expuesto por Victor, pero en
> micaso el problema es poder permitir el acceso del MSN (aunque parezca
> raro), mi proxy deja navegar perfectamente y tambien algunos otros
> servicios lo que hasta ahora no pude es permitir el uso de MSN tomando
> en cuenta que mis politicas por defecto es DROP

Por (N+1)!-esima vez: DROP es para situaciones /muy/ especiales/extremas,
con las que /nunca/ debieran tropezarse. Usen REJECT.

(Si, es extremadamente desagradable encontrarse con que la conexion a
<git://vcs.example.com> se demora eternidades... para descubrir luego que
algun &%#@ "experto" interpuso un filtro con DROP. No, DROP no es "mas
seguro" que REJECT. Si, tengo muy claro que REJECT envia un mensaje desde
el filtro. No, eso no divulga nada que no pueda saberse facilmente por
otras vias. Si, a un malandrin le da mas o menos lo mismo, son los usuarios
legitimos quienes terminan sufriendo. Cierto, eso le indica al jaquel en
potencia que el administrador del FW es incompetente, y lo hace un blanco
mas apetecible... :-).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux