From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <44F2BA97.1040701@boudnik.kiev.ua> Date: Mon, 28 Aug 2006 12:42:47 +0300 From: Sergei Boudnik User-Agent: Mozilla Thunderbird 1.0.8 (X11/20060422) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <44F2A6C9.8080407@boudnik.kiev.ua> <200608281244.12501.dnsmaster@yandex.ru> In-Reply-To: <200608281244.12501.dnsmaster@yandex.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Anti-Virus: Kaspersky Anti-Virus for MailServers 5.5.3/RELEASE, bases: 28082006 #218814, status: clean Subject: Re: [Sysadmins] =?koi8-r?b?wsXaz9DB087P09TY?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Aug 2006 09:43:07 -0000 Archived-At: List-Archive: ABATAPA пишет: > 28 августа 2006 12:18, Sergei Boudnik написал: > >>Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP > > Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при > сканировании определить использующиеся порты, а во-вторых, при работе через > спутник может дать кое-кому хороший шанс... > use REJECT reject-with tcp-reset > ICMP пакеты - хорошее средство для DDoS-атак, да и попадание на трафике может получиться не малое. Поэтому политика (-P) REJECT в iptables не предусмотрена. -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua