From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <424BF752.30502@13.net.ru> Date: Thu, 31 Mar 2005 17:12:50 +0400 From: =?KOI8-R?Q?=ED=C1=D2=CB=C5=CC=CF=D7_=E1=CC=C5=CB=D3=C1=CE=C4=D2?= User-Agent: Mozilla Thunderbird 1.0 (Windows/20041206) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] DROP =?KOI8-R?Q?=C9_REJECT_=D7_iptables-netfilt?= =?KOI8-R?Q?er?= References: <424BE4B9.9080107@rambler.ru> <424BEB10.4050707@13.net.ru> <424BF5BC.6080600@rambler.ru> In-Reply-To: <424BF5BC.6080600@rambler.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-SpamTest-Info: Profile: Formal (217/050329) X-SpamTest-Info: Profile: Detect Hard No RBL (4/030526) X-SpamTest-Info: Profile: SysLog X-SpamTest-Info: Profile: Marking Spam - Subject (2/030321) X-SpamTest-Status: Not detected X-SpamTest-Version: SMTP-Filter Version 2.1.1 [0150], SpamtestISP/Release X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 31 Mar 2005 13:13:30 -0000 Archived-At: List-Archive: List-Post: Olvin пишет: > Маркелов Александр wrote: > >>> Что лучше использовать и в каких случаях: DROP или REJECT? >> >> Выдержки из Iptables Tutorial 1.1.19 > > > Читал. > >> "6.5.3. Действие DROP >> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его >> существовании. "Сброшенные" пакеты прекращают свое движение полностью, >> т.е. они не передаются в другие таблицы, как это происходит в случае с >> действием ACCEPT. >> Следует помнить, что данное действие может иметь негативные последствия, > > > поскольку может оставлять незакрытые "мертвые" сокеты как на стороне > сервера, > > так и на стороне клиента, наилучшим способом защиты будет использование > > действия REJECT особенно при защите от сканирования портов." > > Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если > пакеты не него дропаются? Даже если будет сканирование, то что это даст > в последствии? Всё равно не удастся подсоединиться к порту... Могу ошибаться, но можете попробовать следующие: на интерфейсе на определенные порты в правилах iptables сделать DROP, а потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает, но он определаяет что порт filtered. А про незакрытые сокеты, вроде как они остаются не закрытые, так как ответа никакого не получили когда DROP(наверное ждут таймаута), а когда REJECT то соответственно получат ответ в виде tcp-reset или что нибудь подобное и закроются.