Mescolando regole firewall stateless e stateful

L'utilizzo di filtri basati sullo stato su tutta la linea per cercare di risolvere i problemi di un set di regole del firewall più semplice non funzionerà come previsto. Il risultato sarà probabilmente il contrario.

Lo stato è solo un'altra caratteristica per filtrare i pacchetti. Non c'è ragione per cui ogni regola in un set di regole debba utilizzare le stesse caratteristiche. O che "stateful" è in qualche modo un approccio intrinsecamente superiore.

Per un set di regole più facile da configurare, facile da risolvere e facile da aggiornare senza rompere le cose che devono essere comprensibili per l'amministratore. Sarà più facile capire se le regole sono espresse nel modo più semplice possibile. Pertanto, le caratteristiche di filtro aggiuntive, in particolare quelle come lo stato che sono più difficili da seguire nella tua testa, dovrebbero essere utilizzate solo quando necessario.

Non c'è alcun problema con quest'ultimo set di regole, personalmente lo preferirei. Il motivo per cui è, beh, è il caso: spero che tu non abbia una politica di default ACCEPT , perché quei pacchetti di --ctstate INVALID verranno introdotti di nascosto. : -)

Se stai provando a ripetere tutte le singole cose che vuoi rifiutare / eliminare, perderai qualcosa.