Firewall: DROP nebo REJECT
Milan Kerslager
milan.kerslager na pslib.cz
Pondělí Leden 13 23:46:59 CET 2003
On Mon, Jan 13, 2003 at 10:49:06PM +0100, Peter Surda wrote:
> On Mon, Jan 13, 2003 at 08:10:54PM +0100, Jakub Maa01 Jirků wrote:
> > No predpokladam ze smyslem RFC je jejich dodrzovani, takze odpoved je
> > celkem jasna. To se ale samozrejme tyka jenom korektnich paketu, na
> > pakety ktere jsou vadne, prichazeji z internetu a maji lokalni ip
> > adresu, maji nastavene spatne parametry atd. nema smysl reagovat.
> Len chcem poznamenat, ze /proc/net/ipv4/conf/meno_interfejsu/rp_filter, ktory
> je defaultne na 1, tieto veci odfiltruje aj bez iptables.
>
> Inac RFC je obcas dost dobre naprd, a prave toto je IMHO ten pripad. Co koho
> zaujima, ze zahadzujem pakety, ktore nechcem?
Protoze v pripade DROP zustane klient 'viset' a ceka se na timeout, coz
muze byt neprijemne, zejmena pokud treba udelate chybu a odskace to Vase
aplikace nebo tak zneprijemnite zivot nekomu jinemu (napr. kvuli DROP na
auth pri odesilani posty).
> Druhy pripad je prikaz MDTM v protokole FTP (RFC nepodporuje vzdialenu
> zmenu mtime, kopa servrov a clientov vsak hej).
Rekl bych, ze rozsireni moznosti je odlisne od zamerne opacneho chovani.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux