Sequenza esecuzione regole firewall

[tigro11]

Scusate la domanda magari banale, ma preferisco essere sicuro sul modo di pensare della logica di esecuzione delle regole.
Volevo sapere se le regole del firewall devono partire con una logica ben precisa tipo all'inizio della catena parto con la variabile imput accept e poi drop tutte le imput, in seconda parto con le forward accept e alla fine drop, o prima metto tutto quello che devo lasciar passare imput e forward ecc.. e po alla fine di tutto droppo?

grazie

[radiation]

Dipende dalla logica che devi realizzare. Certamente se la prima è un drop di tutto non potrà far eseguire le successive.

[tigro11]

ok andrea, ma devo seguire una logica di inserimento tra imput e forward? potrei fare ad esempio inizio tutte le regole con imput sia in acept e poi drop, poi inizio con forward acept e poi drop, o meglio che faccio prima tutte le regole che devono passare e poi alla fine di tutto il listato metto i drop sia di imput e di forward

[radiation]

Te l'ho spiegato, devi seguire la logica delle funzioni che vuoi svolgere. Se le regole precedenti contrastano le successive queste verranno ignorate. Magari aiutati disegnando prima un diagramma di flusso di cosa devi fare.

[tigro11]

comunque sembra più efficace mettere all'inizio le regole che bloccano portscan ddos scan dns scan virus scan ecc.., poi iniziare con le regole che servono.

[radiation]

Certamente

[ppraz]

Solo per precisare:
le chain INPUT e OUTPUT riguardano traffico originato (OUTPUT) o terminato (INPUT) sulla routerboard stessa.
Solo la chain FORWARD è relativa al traffico in transito.
Quindi non si può configurare una situazione di "conflitto" fra le varie chain.

Poi come ti diceva giustamente Andrea dipende da quello che vuoi realizzare.
Non c'è una "golden rule" da seguire, tieni presente sempre che il firewall ragiona secondo un approccio "first match" al contrario della tabella di routing che lavora secondo "best match".
Quindi il consiglio è sempre di mettere per prime le regole più specifiche (che matchano poche volte), poi le generali (che matchano molto spesso), infine la default DROP

[tigro11]

sembra facile ormai l'età avanza e la mente non è sempre bella fresca comunque mi metto alla sera a fare delle prove.
grazie ancora a tutti