Procesamiento de datagramas en IP Chains


Considérese el caso de una configuración para la que la política por defecto para cada una de las cadenas ’input’, ’forward’ y ’output’ es deny. En ’IP Chains’, se necesitarían seis reglas para permitir cualquier sesión a través del ’host’ cortafuegos; dos para cada una de las cadenas ’input, ’forward’ y ’output’ (una cubriría el camino en un sentido y la otra en el sentido contrario). Puede imaginarse cómo esto puede llegar a resultar extremadamente complejo y difícil de gestionar cuando se mezclan sesiones que pueden ser encaminadas y sesiones que podrían conectarse al ’host’ local sin que deban ser encaminadas. ’IP chains’ le permite crear cadenas que le simplificarían esta tarea un poco, pero su diseño no resulta evidente y requiere de un cierto nivel de experiencia.

En la implementación de netfilter con iptables, esta complejidad desaparece completamente. Para que se pueda encaminar por un ’host’ cortafuegos un servicio que se desea prohibir que termine en el propio ’host’, sólo se necesitan dos reglas: una para un sentido y otra para el contrario ambas en la cadena ’forward’. Esto es la forma obvia de diseñar reglas de cortafuegos, y servirá para simplificar enormemente el diseño de las configuracioes del cortafuegos.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta