From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <prokopiev@stc.donpac.ru>
Message-ID: <431E7532.8010305@stc.donpac.ru>
Date: Wed, 07 Sep 2005 09:05:54 +0400
From: Eugene Prokopiev <prokopiev@stc.donpac.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.2) Gecko/20040808
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: ALT Linux Community <community@altlinux.ru>
Subject: Re: [Comm] Re: iptables =?KOI8-R?Q?=C9_nmap_=3A_DROP=2C_?=
	=?KOI8-R?Q?REJECT_-=3E_filtered?=
References: <431D707D.5070908@stc.donpac.ru> <20050906104311.GF6215@ldc.net>
	<20050906120454.GW6899@osdn.org.ua>
In-Reply-To: <20050906120454.GW6899@osdn.org.ua>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@altlinux.ru>
List-Id: ALT Linux Community <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 07 Sep 2005 05:06:04 -0000
Archived-At: <http://lore.altlinux.org/community/431E7532.8010305@stc.donpac.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Michael Shigorin пишет:
> On Tue, Sep 06, 2005 at 01:43:11PM +0300, Dmytro O. Redchuk wrote:
> 
>>>Когда-то, читая Андерсона в переводе Киселева, запомнил, что
>>>цель REJECT в iptables не просто убивает пакеты, приходящие
>>>на определенный порт, а посылает отправителю icmp-сообщение
>>>port-unreachable. Ну и домыслил, что nmap должен видеть такие
>>>порты как closed.
>>
>> --reject-with type ?
> 
> 
> http://linux.kiev.ua/~mike/docs/iptables-sample4router
> `-> -j REJECT --reject-with icmp-port-unreachable

Ну так ведь этот type устанавливается сам по умолчанию:

# iptables -t filter -F INPUT
# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
# iptables -A INPUT -p tcp --dport 21 -j REJECT
# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            tcp dpt:ftp 
reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Я, конечно, попробовал указать type принудительно - не изменилось ничего :(

-- 
С уважением, Прокопьев Евгений