Firewall: DROP nebo REJECT
Matus fantomas Uhlar
uhlar na fantomas.sk
Úterý Leden 14 17:01:37 CET 2003
Milan Kerslager <milan.kerslager na pslib.cz> wrote:
-> REJECT je metoda jak rict, ze dany port je zavreny, tj. ze Vam dany SW
-> na tom pocitadle "nebezi".
->
-> DROP je cerna dira. Pokud by cely stroj na vsech portech (i pro ostatni
-> protokoly) choval takto, mohl by si dotycny myslet, ze vas stroj
-> neexistuje (je vypnuty). Jenze pak byste musel ekvivalentni chovani
-> zajistit od predchazejiciho routeru (jinaci zpravu poda posledni router
-> v pripade, ze vas pocitac odpovida na lokalni siti na ARP a jinou pokud
-> neodpovida ani na ARP).
-> Takze je to v podstate jedno. Nicmene DROP alespon setri linku smerem
-> ven (pokud ji mate tenkou). RST muze byt naopak zaminkou k DoS...
DROP setri linku smerom von, REJECT smerom dnu (nakolko oznami ze port je
zaverty a utocnik neposle okrem jedneho SYN paketu dalsie 4 kym vytimeoutuje
spojenie.
Takze sa rozhodnite ktorym smerom vam treba linku setrit...
btw ohladom DoS: pocet ICMP error sprav sa da limitovat.
--
Matus "fantomas" Uhlar, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I don't wish to receive spam to this address.
Varovanie: Nezelam si na tuto adresu dostavat akukolvek reklamnu postu.
Fighting for peace is like fucking for virginity...
Další informace o konferenci Linux