From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <424BF5BC.6080600@rambler.ru> Date: Thu, 31 Mar 2005 16:06:04 +0300 From: Olvin User-Agent: Mozilla Thunderbird 0.6 (X11/20040511) X-Accept-Language: en-us, en MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] DROP =?KOI8-R?Q?=C9_REJECT_=D7_iptables-netfilt?= =?KOI8-R?Q?er?= References: <424BE4B9.9080107@rambler.ru> <424BEB10.4050707@13.net.ru> In-Reply-To: <424BEB10.4050707@13.net.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Auth-User: olvin, whoson: (null) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 31 Mar 2005 13:03:38 -0000 Archived-At: List-Archive: List-Post: Маркелов Александр wrote: >> Что лучше использовать и в каких случаях: DROP или REJECT? > Выдержки из Iptables Tutorial 1.1.19 Читал. > "6.5.3. Действие DROP > Данное действие просто "сбрасывает" пакет и iptables "забывает" о его > существовании. "Сброшенные" пакеты прекращают свое движение полностью, > т.е. они не передаются в другие таблицы, как это происходит в случае с > действием ACCEPT. > Следует помнить, что данное действие может иметь негативные последствия, > поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера, > так и на стороне клиента, наилучшим способом защиты будет использование > действия REJECT особенно при защите от сканирования портов." Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если пакеты не него дропаются? Даже если будет сканирование, то что это даст в последствии? Всё равно не удастся подсоединиться к порту...