Firewall: DROP nebo REJECT

Jakub Maa01 Jirků maa01 na seznam.cz
Pondělí Leden 13 23:45:40 CET 2003 

Mon, Jan 13, 2003 at 10:49:06PM +0100, Peter Surda napsal(a):
> On Mon, Jan 13, 2003 at 08:10:54PM +0100, Jakub Maa01 Jirků wrote:
> > No predpokladam ze smyslem RFC je jejich dodrzovani, takze odpoved je
> > celkem jasna. To se ale samozrejme tyka jenom korektnich paketu, na
> > pakety ktere jsou vadne, prichazeji z internetu a maji lokalni ip
> > adresu, maji nastavene spatne parametry atd. nema smysl reagovat.
> Len chcem poznamenat, ze /proc/net/ipv4/conf/meno_interfejsu/rp_filter, ktory
> je defaultne na 1, tieto veci odfiltruje aj bez iptables.

Myslel jsem nejen napety se spatnou zdrojovou adresou, ale pakety
vseobecne pochybne, napriklad pakety otevirajici nove spojeni bez
natsaveneho SYN priznaku (posledni vylepseni z dilem MS) a podobne.

> Inac RFC je obcas dost dobre naprd, a prave toto je IMHO ten pripad. Co koho
> zaujima, ze zahadzujem pakety, ktore nechcem? Druhy pripad je prikaz MDTM v
> protokole FTP (RFC nepodporuje vzdialenu zmenu mtime, kopa servrov a clientov
> vsak hej).

Spis my slo o to, ze ne vsechny pokusy nekam se pripojit jsou utoky a
kdyz to nekdo zkusi, mohlo by se mu dostat spis slusneho odmitnuti,
nez ignorace, takze se o tom, ze tam nic nenajde dozvi hned (at uz
normalni uzivatel s prohlizecem, nebo treba ident klient) a pokud 
na tom stroji bezi nejaka sluzba, tak ho stejne neschovate.

I kdyz myslim, ze je to spis otazka ideologie, nez techniky :)

> > Jakub Maa01 Jirků <maa01 na seznam.cz>
> Bye,
> 
> Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023
> 
> --
>        Microsoft does write "free" software. Not free as in "free
>                beer," or "free speech," but "Free Tibet."

-- 
Jakub Maa01 Jirků <maa01 na seznam.cz>

<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> well, you can stil get one from a strange country :-P
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030113/2cdd131f/attachment.sig>

Další informace o konferenci Linux