From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <prokopiev@stc.donpac.ru>
Message-ID: <431D707D.5070908@stc.donpac.ru>
Date: Tue, 06 Sep 2005 14:33:33 +0400
From: Eugene Prokopiev <prokopiev@stc.donpac.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.2) Gecko/20040808
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: Community@altlinux.ru
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Cc: 
Subject: [Comm] iptables
 =?koi8-r?b?ySBubWFwIDogRFJPUCwgUkVKRUNUIC0+IGZpbHRlcmVk?=
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@altlinux.ru>
List-Id: ALT Linux Community <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 06 Sep 2005 10:33:41 -0000
Archived-At: <http://lore.altlinux.org/community/431D707D.5070908@stc.donpac.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Здравствуйте!

Когда-то, читая Андерсона в переводе Киселева, запомнил, что цель REJECT 
в iptables не просто убивает пакеты, приходящие на определенный порт, а 
посылает отправителю icmp-сообщение port-unreachable. Ну и домыслил, что 
nmap должен видеть такие порты как closed.

Сегодня впервые попробовал это сделать и был немного разочарован 
результатом:

# iptables -t filter -F INPUT
# iptables -A INPUT -p tcp --dport 21 -j REJECT
# nmap -p 21 127.0.0.1
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-09-06 14:37 MSD
Interesting ports on localhost.localdomain (127.0.0.1):
PORT   STATE    SERVICE
21/tcp filtered ftp
Nmap run completed -- 1 IP address (1 host up) scanned in 0.878 seconds

# iptables -t filter -F INPUT
# iptables -A INPUT -p tcp --dport 21 -j DROP
# nmap -p 21 127.0.0.1
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-09-06 14:38 MSD
Interesting ports on localhost.localdomain (127.0.0.1):
PORT   STATE    SERVICE
21/tcp filtered ftp
Nmap run completed -- 1 IP address (1 host up) scanned in 2.794 seconds

Почему?
Как добиться того, чтоб порт был closed?

Для сравнения:

# iptables -t filter -F INPUT
# nmap -p 20 127.0.0.1
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-09-06 14:40 MSD
Interesting ports on localhost.localdomain (127.0.0.1):
PORT   STATE  SERVICE
20/tcp closed ftp-data
Nmap run completed -- 1 IP address (1 host up) scanned in 0.873 seconds


-- 
С уважением, Прокопьев Евгений