Firewall: DROP nebo REJECT

[Matus fantomas Uhlar]

Milan Kerslager <milan.kerslager na pslib.cz> wrote:
-> REJECT je metoda jak rict, ze dany port je zavreny, tj. ze Vam dany SW
-> na tom pocitadle "nebezi".
-> 
-> DROP je cerna dira. Pokud by cely stroj na vsech portech (i pro ostatni
-> protokoly) choval takto, mohl by si dotycny myslet, ze vas stroj
-> neexistuje (je vypnuty). Jenze pak byste musel ekvivalentni chovani
-> zajistit od predchazejiciho routeru (jinaci zpravu poda posledni router
-> v pripade, ze vas pocitac odpovida na lokalni siti na ARP a jinou pokud
-> neodpovida ani na ARP).

-> Takze je to v podstate jedno. Nicmene DROP alespon setri linku smerem
-> ven (pokud ji mate tenkou). RST muze byt naopak zaminkou k DoS...

DROP setri linku smerom von, REJECT smerom dnu (nakolko oznami ze port je
zaverty a utocnik neposle okrem jedneho SYN paketu dalsie 4 kym vytimeoutuje
spojenie.

Takze sa rozhodnite ktorym smerom vam treba linku setrit...

btw ohladom DoS: pocet ICMP error sprav sa da limitovat.

-- 
 Matus "fantomas" Uhlar, uhlar na fantomas.sk ; http://www.fantomas.sk/
 Warning: I don't wish to receive spam to this address.
 Varovanie: Nezelam si na tuto adresu dostavat akukolvek reklamnu postu.
 Fighting for peace is like fucking for virginity...