On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:

[...]
> Еще полезно
> 
> -A INPUT -m state --state INVALID,NEW -j DROP
> 
> и в конце (при этом chain policy == ACCEPT)
> 
> -A INPUT -j REJECT --reject-with icmp-host-unreachable
> 
> -- если не требуется именно дропать (большой паразитный трафик),
> то это сделает наш файрвол внешне неотличимым от просто
> открытых/закрытых портов.
[...]

Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная
маштеа получает просто таймаут, а при режекте что-то типа "нет такого
адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)?
Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно
для диалапного десктопа без локалки)

-- 
По "техническим причинам" я буду молчать или реагировать с бооольшой
задержкой на все почтовое в лучшем случае до понедельника следующей недели.
		-- ldv in devel@