<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Feb 28, 2014 at 3:52 PM, Chuck Anderson <span dir="ltr"><<a href="mailto:cra@wpi.edu" target="_blank">cra@wpi.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Fri, Feb 28, 2014 at 12:14:30PM -0500, John P. Rouillard wrote:<br>
> I have not seen this, but you could simplify the rule and remove<br>
><br>
>      "-m state --state NEW"<br>
><br>
> for testing to see if the problem goes away. That should eliminate any<br>
> issues with the state setup and allow all ldap traffic to pass<br>
> through.<br>
<br>
I vote for this as a permanent solution.  Why would you want netfilter<br>
to track state on inbound connections to a server in most cases?  Are<br>
you also filtering outbound replies or do you have a default-allow<br>
outbound ruleset?<br>
<br></blockquote><div><br></div><div>Agreed there.  I don't think we do care about state for a lot of the applications we run.  They're locked down to a particular set of hosts that we trust.  With a default policy of rejecting packets, we do, however, need a way to allow return traffic, and with a firewall, allowing all established/related traffic is important.  Gotta be stateful for that.<br>
<br></div><div>It's been a while since we've looked deeply at how we manage our host-based firewalls (if it doesn't break, it doesn't always get attention), so this is a good opportunity to question ourselves.<br>
<br>John<br></div></div></div></div>