混合无状态防火墙规则和状态防火墙规则

Question

我被告知，混合有状态和无状态的防火墙规则可能会导致故障排除的麻烦。这里面有什么真相吗？

接受以下两个规则集(Iptable)：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW,INVALID -j REJECT

和

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j REJECT

在功能上，我看不出有什么不同。但也许这只是我缺乏经验的谈话，一个比另一个有好处吗？

Answer 1

全面使用基于状态的过滤，以使防火墙规则集的故障排除变得更容易，这是不可能实现的。结果可能正好相反。

状态只是过滤数据包的另一个特性。规则集中的每条规则都没有理由使用相同的特征。或者，“有状态”在某种程度上是一种内在的优越方法。

为了使规则集更容易准确地设置，易于排除故障，并且易于更新而不破坏规则集，管理员需要理解规则集。如果规则表达得尽可能简单，就会更容易理解。因此，额外的过滤特性--尤其是那些在你头脑中很难理解的状态--只应在必要时使用。

Answer 2

后一条规则没有问题，我个人更喜欢它。原因是，好吧，举个例子:我希望你没有默认的ACCEPT策略，因为那些--ctstate INVALID包会偷偷通过。:-)

如果你试图迭代出你想要拒绝/放弃的每一件东西，你肯定会错过一些东西。