Firewall: DROP nebo REJECT

Jakub Maa01 Jirků maa01 na seznam.cz
Pondělí Leden 13 20:10:54 CET 2003


Mon, Jan 13, 2003 at 06:53:59PM +0100, Dan Bar napsal(a):
> Dobry den,

I Vam

> kdyz jsem studoval iptables firewall, narazil jsem na netu na diskuse zda
> pouzivat pro pakety smerujici na filtrovane porty radeji DROP, nebo ICMP
> (port unreachable) + TCP (RST) odpovedi.
> Podle RFC by se sice mela pouzivat druha variata, ale nektere prispevky se
> zminovaly o rapidnim narustu nepovoleneho provozu v porovnani s DROP. Jde
> tady spis o socialni studii chovani hackeru nez o cokoli jineho. Presto,
> jake s tim mate zkusenosti, co pouzivate ?

No predpokladam ze smyslem RFC je jejich dodrzovani, takze odpoved je
celkem jasna. To se ale samozrejme tyka jenom korektnich paketu, na
pakety ktere jsou vadne, prichazeji z internetu a maji lokalni ip
adresu, maji nastavene spatne parametry atd. nema smysl reagovat.

> Dik za odpovedi,
> 
> Dan
> 
> P.S. Zatim pouzivam DROP na jednom serveru bez verejne pristupnych sluzeb.
> Denne nejakych 200-600 paketu.

-- 
Jakub Maa01 Jirků <maa01 na seznam.cz>

<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> well, you can stil get one from a strange country :-P
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030113/03c17742/attachment.sig>


Další informace o konferenci Linux