Firewall: DROP nebo REJECT

[Pavel Kankovsky]

On Tue, 14 Jan 2003, Matus fantomas Uhlar wrote:

> DROP setri linku smerom von, REJECT smerom dnu (nakolko oznami ze port
> je zaverty a utocnik neposle okrem jedneho SYN paketu dalsie 4 kym
> vytimeoutuje spojenie.

Jak se to vezme: pokud nekdo skenuje a pakety mizi v cerne dire, pak to
vetsinou vede ke zpomaleni toho skenu (protoze taky mohou mizet v cerne
dire z duvodu zacpani dratu). Cili vysledek muze byt take takovy, ze
reject zpusobi, ze se provoz smerem dovnitr zvysi (nebo lepe receno
zintenzivni).

Myslim, ze obecne pravidlo je: reject je urceno pro slusne lidi, kteri
omylem zabloudi, kam nemaji (a je slusnost je na to upozornit), drop je
urcen pro vsechny ostatni.

> btw ohladom DoS: pocet ICMP error sprav sa da limitovat.

Da. Kupodivu ale nevim o tom, ze by nekdo limitoval TCP RST (std. odpoved
na zavrenem TCP portu).


On Tue, 14 Jan 2003, Ing. Pavel PaJaSoft Janousek wrote:

> A co se tyce LOGovani packetu [...] o cem to tedy kolega Kankovsky
> mluvil? Neco mi uniklo?

Kolega Kankovsky taky nevi, o cem mluvil, protoze v tomto threadu je toto
jeho prvni prispevek. Pokud se to tykalo nejakeho jineho threadu, tak uz
si to nepamatuje.

Nicmene nmap neni (i z vyse uvedenych duvodu, kdy preferuje spolehlivost
pred rychlosti, aspon pokud si clovek nepohraje s ruznymi specialnimi
opsnami typu --max_rtt_timeout) idealni nastroj k testovani toho, co stroj
snese, kdyz bude vsechny zahozene pakety psat do logu. Zkusil bych
specializovany program, co chrli pakety maximalni moznou rychlosti a
uvidime: podle mne nastane temer vzdy nejmene jedna ze trech moznosti:
1. stroj bude beznadejne pretizen, 2. dojde misto na disku, 3. log bude
plny sracek a nikdo v nem nic nenajde, coz popre samotny duvod, proc byl
vytvaren.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."