[Linux] iptables

[Hervé Eychenne]

On Sat, Mar 24, 2007 at 10:30:24PM +0100, Jonathan ROTH wrote:

> Hervé Eychenne a écrit :
> >Oui, mais spécifier le protocole n'a pas beaucoup de sens. Une seule
> >ligne, sans -p fait très bien l'affaire.

> Exact, c'est parce qu'au début y'avais un --dport 25 avec...

Sans vouloir trop enfoncer le clou, ça ne change rien.

Cette règle (ESTABLISHED->ACCEPT) ne sert que pour les connexions déjà
établies, le filtrage ne se faisant que sur les nouvelles connexions
(celles qui ne sont pas encore dans le connection tracking).
Ajouter une condition dans la règle ESTABLISHED->ACCEPT est
inutilement redondant, et ne sert qu'à ralentir le traitement...

C'est un peu comme ceux qui rajoutent les mêmes conditions dans les
règles de NAT que dans les règles de filtrage : dans le cas du NAT
PREROUTING, les paquets non NATés n'arrivent pas jusqu'à la règle
de filtrage, et dans le cas du NAT POSTROUTING, les paquets filtrés
n'arrivent pas jusqu'au NAT. Bref, tout ça ne sert techniquement à
rien, et en plus ça introduit des duplications de conditions, avec les
problèmes inhérents à toute duplication (désynchronisation, oubli,
etc.)...

 Hervé

-- 
 _
(°=  Hervé Eychenne
//)  Homepage:          http://www.eychenne.org/
v_/_ WallFire project:  http://www.wallfire.org/