web-dev-qa-db-ja.com

なぜ確立され、入力のみに関連するのですか?

多くの場所やチュートリアルで、人々がiptablesにこの行を追加しているのを目にします:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

そして、彼らはそれを「INPUT」のためだけに行います。出力と転送はどうですか?

  1. アウトプットの場合:通常はすべてアウト(アウトプット)が許可されるという事実のためですか? (-j ACCEPT

  2. FORWARDの場合:彼らはファイアウォールマシンもFTPサーバーであると想定しています(!)。

5
shayan

ほとんどのファイアウォールポリシーは、受信トラフィックの制限に重点を置いています。発信トラフィックを制限しようとはしません。これが、出力ではなく入力にのみ適用される理由です。出て行くすべてが許可されている場合、それをOUTPUTに適用しても意味がありません。

FORWARDはエンドポイントには関係ありません。これは、トラフィックを転送しているルーターにのみ関係します。私がインターネット上で目にするほとんどのファイアウォールルールセットは、エンドユーザーのマシンまたはサーバーのファイアウォールに焦点を合わせています。

3
D.W.