From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <olvin@rambler.ru>
Message-ID: <424BFEF2.1020500@rambler.ru>
Date: Thu, 31 Mar 2005 16:45:22 +0300
From: Olvin <olvin@rambler.ru>
User-Agent: Mozilla Thunderbird 0.6 (X11/20040511)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] DROP =?KOI8-R?Q?=C9_REJECT_=D7_iptables-netfilt?=
	=?KOI8-R?Q?er?=
References: <424BE4B9.9080107@rambler.ru>
	<424BEB10.4050707@13.net.ru>	<424BF5BC.6080600@rambler.ru>
	<424BF752.30502@13.net.ru>
In-Reply-To: <424BF752.30502@13.net.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Auth-User: olvin, whoson: (null)
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 31 Mar 2005 13:42:58 -0000
Archived-At: <http://lore.altlinux.org/community/424BFEF2.1020500@rambler.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Маркелов Александр wrote:

>>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>> Выдержки из Iptables Tutorial 1.1.19
>> Читал.
>>> "6.5.3. Действие DROP
>>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его 
>>> существовании. "Сброшенные" пакеты прекращают свое движение 
>>> полностью, т.е. они не передаются в другие таблицы, как это 
>>> происходит в случае с действием ACCEPT.
>>> Следует помнить, что данное действие может иметь негативные последствия,
>>> поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера,
>>> так и на стороне клиента, наилучшим способом защиты будет использование
>>> действия REJECT особенно при защите от сканирования портов."
>> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если 
>> пакеты не него дропаются? Даже если будет сканирование, то что это 
>> даст в последствии? Всё равно не удастся подсоединиться к порту...
> Могу ошибаться, но можете попробовать следующие:
> на интерфейсе на определенные порты в правилах iptables сделать DROP, а 
> потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает, 
> но он определаяет что порт filtered.
Ладно, спрошу по другому: ну определил кто-нибудь, что filtered, ну и 
какая от этого _практическая_ польза в плане взлома сервера?