,------[Oleg Gashev 04/06/2008 20:36 (GMT +3) | Приветствую! | | Покотиленко Костик wrote: | > При хорошем скане REJECT=смерть, лучше DROP. | | 6.5.3. Действие DROP | | Данное действие просто "сбрасывает" пакет и iptables "забывает" о его | существовании. "Сброшенные" пакеты прекращают свое движение полностью, | т.е. они не передаются в другие таблицы, как это происходит в случае с | действием ACCEPT. Следует помнить, что данное действие может иметь | негативные последствия, поскольку может оставлять незакрытые "мертвые" | сокеты как на стороне сервера, так и на стороне клиента, наилучшим | способом защиты будет использование действия REJECT особенно при защите | от сканирования портов. | | http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DROPTARGET `----------------- Бред какой-то. Трафик до сокетов не доберется т.к. он будет подропан фаерволом. Иначе какой толк от фаервола? Может про сторону "сервера" имелся ввиду трафик, идущий _от_ защищаемой машины? От REJECT будет много ответного трафика и атакуемая (защищаемая) машина вынуждена будет отвечать, тратя свои ресурсы.
--
Best regards,
Mikhail
signature.asc
Description: This is a digitally signed message part.
