* [Comm] DROP и REJECT в iptables-netfilter
@ 2005-03-31 11:53 Olvin
2005-03-31 11:58 ` Nick S. Grechukh
` (3 more replies)
0 siblings, 4 replies; 16+ messages in thread
From: Olvin @ 2005-03-31 11:53 UTC (permalink / raw)
To: community
Что лучше использовать и в каких случаях: DROP или REJECT?
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 11:53 [Comm] DROP и REJECT в iptables-netfilter Olvin
@ 2005-03-31 11:58 ` Nick S. Grechukh
2005-03-31 12:16 ` Re[2]: " JoyLink
2005-03-31 12:12 ` Alexey Borovskoy
` (2 subsequent siblings)
3 siblings, 1 reply; 16+ messages in thread
From: Nick S. Grechukh @ 2005-03-31 11:58 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 156 bytes --]
On Thursday 31 March 2005 14:53, Olvin wrote:
> Что лучше использовать и в каких случаях: DROP или REJECT?
зависит. что каждый из них делает, рассказывать?
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 11:53 [Comm] DROP и REJECT в iptables-netfilter Olvin
2005-03-31 11:58 ` Nick S. Grechukh
@ 2005-03-31 12:12 ` Alexey Borovskoy
2005-03-31 13:46 ` Olvin
2005-03-31 12:20 ` [Comm] " Маркелов Александр
2005-03-31 17:36 ` Michael Shigorin
3 siblings, 1 reply; 16+ messages in thread
From: Alexey Borovskoy @ 2005-03-31 12:12 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 324 bytes --]
* Пятница 01 Апрель 2005 00:53 Olvin <olvin@rambler.ru>
> Что лучше использовать и в каких случаях: DROP или REJECT?
DROP просто выкинет пакет и никому не скажет об этом.
REJECT выкинет пакет и скажет об этом тому кто этот пакет послал.
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re[2]: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 11:58 ` Nick S. Grechukh
@ 2005-03-31 12:16 ` JoyLink
2005-03-31 12:29 ` Nick S. Grechukh
0 siblings, 1 reply; 16+ messages in thread
From: JoyLink @ 2005-03-31 12:16 UTC (permalink / raw)
To: Nick S. Grechukh
Здравствуйте, Nick.
Вы писали 31 марта 2005 г., 15:58:47:
> On Thursday 31 March 2005 14:53, Olvin wrote:
>> Что лучше использовать и в каких случаях: DROP или REJECT?
> зависит. что каждый из них делает, рассказывать?
Желательно.
--
JoyLink
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 11:53 [Comm] DROP и REJECT в iptables-netfilter Olvin
2005-03-31 11:58 ` Nick S. Grechukh
2005-03-31 12:12 ` Alexey Borovskoy
@ 2005-03-31 12:20 ` Маркелов Александр
2005-03-31 13:06 ` Olvin
2005-03-31 17:36 ` Michael Shigorin
3 siblings, 1 reply; 16+ messages in thread
From: Маркелов Александр @ 2005-03-31 12:20 UTC (permalink / raw)
To: community
Olvin пишет:
> Что лучше использовать и в каких случаях: DROP или REJECT?
Выдержки из Iptables Tutorial 1.1.19
"6.5.3. Действие DROP
Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
существовании. "Сброшенные" пакеты прекращают свое движение полностью,
т.е. они не передаются в другие таблицы, как это происходит в случае с
действием ACCEPT. Следует помнить, что данное действие может иметь
негативные последствия, поскольку может оставлять незакрытые "мертвые"
сокеты как на стороне сервера, так и на стороне клиента, наилучшим
способом защиты будет использование действия REJECT особенно при защите
от сканирования портов."
"6.5.10. Действие REJECT
REJECT используется, как правило, в тех же самых ситуациях, что и DROP,
но в отличие от DROP, команда REJECT выдает сообщение об ошибке на хост,
передавший пакет. Действие REJECT на сегодняшний день может
использоваться только в цепочках INPUT, FORWARD и OUTPUT (и во вложенных
в них цепочках). Пока существует только единственный ключ, управляющий
поведением команды REJECT."
А вообще лутше прочитать
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
И не один раз :)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re[2]: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 12:16 ` Re[2]: " JoyLink
@ 2005-03-31 12:29 ` Nick S. Grechukh
0 siblings, 0 replies; 16+ messages in thread
From: Nick S. Grechukh @ 2005-03-31 12:29 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 585 bytes --]
On Thursday 31 March 2005 15:16, JoyLink wrote:
> Вы писали 31 марта 2005 г., 15:58:47:
> > On Thursday 31 March 2005 14:53, Olvin wrote:
> >> Что лучше использовать и в каких случаях: DROP или REJECT?
> > зависит. что каждый из них делает, рассказывать?
> Желательно.
на пальцах: drop выбрасывает пакет в режиме "забыли и проехали". reject
выбрасывает пакет и посылает отлуп. как результат, тот кого вы дропите об
этом не узнает (просто не получит ответа до самого таймаута).
не на пальцах - читать по сцылке
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 12:20 ` [Comm] " Маркелов Александр
@ 2005-03-31 13:06 ` Olvin
2005-03-31 13:12 ` Маркелов Александр
0 siblings, 1 reply; 16+ messages in thread
From: Olvin @ 2005-03-31 13:06 UTC (permalink / raw)
To: community
Маркелов Александр wrote:
>> Что лучше использовать и в каких случаях: DROP или REJECT?
> Выдержки из Iptables Tutorial 1.1.19
Читал.
> "6.5.3. Действие DROP
> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
> существовании. "Сброшенные" пакеты прекращают свое движение полностью,
> т.е. они не передаются в другие таблицы, как это происходит в случае с
> действием ACCEPT.
> Следует помнить, что данное действие может иметь негативные последствия,
> поскольку может оставлять незакрытые "мертвые" сокеты как на стороне
сервера,
> так и на стороне клиента, наилучшим способом защиты будет использование
> действия REJECT особенно при защите от сканирования портов."
Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если
пакеты не него дропаются? Даже если будет сканирование, то что это даст
в последствии? Всё равно не удастся подсоединиться к порту...
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 13:06 ` Olvin
@ 2005-03-31 13:12 ` Маркелов Александр
2005-03-31 13:16 ` Genix
` (2 more replies)
0 siblings, 3 replies; 16+ messages in thread
From: Маркелов Александр @ 2005-03-31 13:12 UTC (permalink / raw)
To: community
Olvin пишет:
> Маркелов Александр wrote:
>
>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>
>> Выдержки из Iptables Tutorial 1.1.19
>
>
> Читал.
>
>> "6.5.3. Действие DROP
>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
>> существовании. "Сброшенные" пакеты прекращают свое движение полностью,
>> т.е. они не передаются в другие таблицы, как это происходит в случае с
>> действием ACCEPT.
>> Следует помнить, что данное действие может иметь негативные последствия,
>
> > поскольку может оставлять незакрытые "мертвые" сокеты как на стороне
> сервера,
> > так и на стороне клиента, наилучшим способом защиты будет использование
> > действия REJECT особенно при защите от сканирования портов."
>
> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если
> пакеты не него дропаются? Даже если будет сканирование, то что это даст
> в последствии? Всё равно не удастся подсоединиться к порту...
Могу ошибаться, но можете попробовать следующие:
на интерфейсе на определенные порты в правилах iptables сделать DROP, а
потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает,
но он определаяет что порт filtered.
А про незакрытые сокеты, вроде как они остаются не закрытые, так как
ответа никакого не получили когда DROP(наверное ждут таймаута), а когда
REJECT то соответственно получат ответ в виде tcp-reset или что нибудь
подобное и закроются.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 13:12 ` Маркелов Александр
@ 2005-03-31 13:16 ` Genix
2005-03-31 13:45 ` Olvin
2005-03-31 17:39 ` [Comm] " Michael Shigorin
2 siblings, 0 replies; 16+ messages in thread
From: Genix @ 2005-03-31 13:16 UTC (permalink / raw)
To: community
Маркелов Александр wrote:
> не знаю как уж он это делает, но он определаяет что порт filtered.
он делает более интеллектуально чем "сим-сим откройся", хотя и такая
опция тоже есть (-sT по-моему)
--
У каждого в башке свои тараканы...
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 13:12 ` Маркелов Александр
2005-03-31 13:16 ` Genix
@ 2005-03-31 13:45 ` Olvin
2005-03-31 13:49 ` Маркелов Александр
2005-03-31 14:01 ` Alex Gorbachenko
2005-03-31 17:39 ` [Comm] " Michael Shigorin
2 siblings, 2 replies; 16+ messages in thread
From: Olvin @ 2005-03-31 13:45 UTC (permalink / raw)
To: community
Маркелов Александр wrote:
>>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>> Выдержки из Iptables Tutorial 1.1.19
>> Читал.
>>> "6.5.3. Действие DROP
>>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
>>> существовании. "Сброшенные" пакеты прекращают свое движение
>>> полностью, т.е. они не передаются в другие таблицы, как это
>>> происходит в случае с действием ACCEPT.
>>> Следует помнить, что данное действие может иметь негативные последствия,
>>> поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера,
>>> так и на стороне клиента, наилучшим способом защиты будет использование
>>> действия REJECT особенно при защите от сканирования портов."
>> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если
>> пакеты не него дропаются? Даже если будет сканирование, то что это
>> даст в последствии? Всё равно не удастся подсоединиться к порту...
> Могу ошибаться, но можете попробовать следующие:
> на интерфейсе на определенные порты в правилах iptables сделать DROP, а
> потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает,
> но он определаяет что порт filtered.
Ладно, спрошу по другому: ну определил кто-нибудь, что filtered, ну и
какая от этого _практическая_ польза в плане взлома сервера?
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 12:12 ` Alexey Borovskoy
@ 2005-03-31 13:46 ` Olvin
2005-03-31 17:44 ` [Comm] " Michael Shigorin
0 siblings, 1 reply; 16+ messages in thread
From: Olvin @ 2005-03-31 13:46 UTC (permalink / raw)
To: community
Alexey Borovskoy wrote:
>>Что лучше использовать и в каких случаях: DROP или REJECT?
> DROP просто выкинет пакет и никому не скажет об этом.
> REJECT выкинет пакет и скажет об этом тому кто этот пакет послал.
Я не спрашивал, что каждое из них делает. Я спросил, что и в какой
ситуации предпостительно использовать. И почему.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 13:45 ` Olvin
@ 2005-03-31 13:49 ` Маркелов Александр
2005-03-31 14:01 ` Alex Gorbachenko
1 sibling, 0 replies; 16+ messages in thread
From: Маркелов Александр @ 2005-03-31 13:49 UTC (permalink / raw)
To: community
Olvin пишет:
>> Могу ошибаться, но можете попробовать следующие:
>> на интерфейсе на определенные порты в правилах iptables сделать DROP,
>> а потом пройтись nmapом по этому интерфейсы, не знаю как уж он это
>> делает, но он определаяет что порт filtered.
>
> Ладно, спрошу по другому: ну определил кто-нибудь, что filtered, ну и
> какая от этого _практическая_ польза в плане взлома сервера?
Не могу сказать, я думаю, польза исползования DROP или REJECT для
предотвращения взлома практически одинаковая. :)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] DROP и REJECT в iptables-netfilter
2005-03-31 13:45 ` Olvin
2005-03-31 13:49 ` Маркелов Александр
@ 2005-03-31 14:01 ` Alex Gorbachenko
1 sibling, 0 replies; 16+ messages in thread
From: Alex Gorbachenko @ 2005-03-31 14:01 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 235 bytes --]
On Thu, 31 Mar 2005 16:45:22 +0300
Olvin wrote:
> Ладно, спрошу по другому: ну определил кто-нибудь, что filtered, ну и
> какая от этого _практическая_ польза в плане взлома сервера?
никакой.
--
Sylpheed Claws 1.9.6cvs9
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: DROP и REJECT в iptables-netfilter
2005-03-31 11:53 [Comm] DROP и REJECT в iptables-netfilter Olvin
` (2 preceding siblings ...)
2005-03-31 12:20 ` [Comm] " Маркелов Александр
@ 2005-03-31 17:36 ` Michael Shigorin
3 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2005-03-31 17:36 UTC (permalink / raw)
To: community
On Thu, Mar 31, 2005 at 02:53:29PM +0300, Olvin wrote:
> Что лучше использовать и в каких случаях: DROP или REJECT?
http://lists.osdn.org.ua/wws/info/isp-list :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: DROP и REJECT в iptables-netfilter
2005-03-31 13:12 ` Маркелов Александр
2005-03-31 13:16 ` Genix
2005-03-31 13:45 ` Olvin
@ 2005-03-31 17:39 ` Michael Shigorin
2 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2005-03-31 17:39 UTC (permalink / raw)
To: community
On Thu, Mar 31, 2005 at 05:12:50PM +0400, Маркелов Александр wrote:
> на интерфейсе на определенные порты в правилах iptables сделать
> DROP, а потом пройтись nmapом по этому интерфейсы, не знаю как
> уж он это делает, но он определаяет что порт filtered.
Ну если дропают, то ясно, что filtered.
-j REJECT --reject-with icmp-port-unreachable
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: DROP и REJECT в iptables-netfilter
2005-03-31 13:46 ` Olvin
@ 2005-03-31 17:44 ` Michael Shigorin
0 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2005-03-31 17:44 UTC (permalink / raw)
To: community
On Thu, Mar 31, 2005 at 04:46:51PM +0300, Olvin wrote:
> >>Что лучше использовать и в каких случаях: DROP или REJECT?
> >DROP просто выкинет пакет и никому не скажет об этом.
> >REJECT выкинет пакет и скажет об этом тому кто этот пакет послал.
> Я не спрашивал, что каждое из них делает. Я спросил, что и в
> какой ситуации предпостительно использовать. И почему.
DROP показан, когда бросать много, а культурничать незачем.
Например, на сервере нет SMTP, а китайцы с бразильцами лезут.
Или трафик считается есть мнение, что оплату по тарифу суммы
ICMP reply за месяц лучше пустить на пиво. Или на сок там. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2005-03-31 17:44 UTC | newest]
Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-31 11:53 [Comm] DROP и REJECT в iptables-netfilter Olvin
2005-03-31 11:58 ` Nick S. Grechukh
2005-03-31 12:16 ` Re[2]: " JoyLink
2005-03-31 12:29 ` Nick S. Grechukh
2005-03-31 12:12 ` Alexey Borovskoy
2005-03-31 13:46 ` Olvin
2005-03-31 17:44 ` [Comm] " Michael Shigorin
2005-03-31 12:20 ` [Comm] " Маркелов Александр
2005-03-31 13:06 ` Olvin
2005-03-31 13:12 ` Маркелов Александр
2005-03-31 13:16 ` Genix
2005-03-31 13:45 ` Olvin
2005-03-31 13:49 ` Маркелов Александр
2005-03-31 14:01 ` Alex Gorbachenko
2005-03-31 17:39 ` [Comm] " Michael Shigorin
2005-03-31 17:36 ` Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git