Firewall: DROP nebo REJECT

Milan Kerslager milan.kerslager na pslib.cz
Pondělí Leden 13 23:46:59 CET 2003


On Mon, Jan 13, 2003 at 10:49:06PM +0100, Peter Surda wrote:
> On Mon, Jan 13, 2003 at 08:10:54PM +0100, Jakub Maa01 Jirků wrote:
> > No predpokladam ze smyslem RFC je jejich dodrzovani, takze odpoved je
> > celkem jasna. To se ale samozrejme tyka jenom korektnich paketu, na
> > pakety ktere jsou vadne, prichazeji z internetu a maji lokalni ip
> > adresu, maji nastavene spatne parametry atd. nema smysl reagovat.
> Len chcem poznamenat, ze /proc/net/ipv4/conf/meno_interfejsu/rp_filter, ktory
> je defaultne na 1, tieto veci odfiltruje aj bez iptables.
> 
> Inac RFC je obcas dost dobre naprd, a prave toto je IMHO ten pripad. Co koho
> zaujima, ze zahadzujem pakety, ktore nechcem?

Protoze v pripade DROP zustane klient 'viset' a ceka se na timeout, coz
muze byt neprijemne, zejmena pokud treba udelate chybu a odskace to Vase
aplikace nebo tak zneprijemnite zivot nekomu jinemu (napr. kvuli DROP na
auth pri odesilani posty).

> Druhy pripad je prikaz MDTM v protokole FTP (RFC nepodporuje vzdialenu
> zmenu mtime, kopa servrov a clientov vsak hej).

Rekl bych, ze rozsireni moznosti je odlisne od zamerne opacneho chovani.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/


Další informace o konferenci Linux