nmap a ipchains

[Pavel Kankovsky]

On Tue, 11 Jul 2000, Frantisek Dufka wrote:

> Kdyz dam default policy DENY nebo REJECT, povolim icmp a jenom ty
> spravne sluzby tak to skenuje 5 minut a skonci bud ze stejnym
> vysledkem (REJECT) nebo s hlaskou 'filtered' pro vsechny ostatni porty
> (DENY) coz je asi ok, je normalni ale ze to skenovani trva tak dlouho
> ?

Kdyz se pristup zakaze pres DENY, tak z ciloveho stroje nevyleze zadna
odpoved a nasledkem toho nmap nevi, jestli je blokovano, nebo jestli se
proste pakety nekde ztraceji a opakuje to, dokud nenastane timeout.
U toho REJECTu je to trochu podivne chovani.

> V cem je rozdil, v pripade kdy je ten port povoleny ale nikdo na nem
> neposloucha a v pripade kdy je zakazany pravidlem REJECT ?

Nejaky rozdil tam je, myslim, ze pristupny, ale zavreny port posle jako
reakci na nove spojeni TCP RST, zatimco zablokovany s REJECT posle ICMP
port unreachable, ale nejsem si jisty.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."