[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables notifiche

Alle 11:28, giovedì 19 giugno 2003,immerso nell'esegesi delle monadi di 
Leibniz, fui distratto da Mattia Dongili che proclamò:


> > sostanza con REJECT tu non invii alcuna stringa al client. Se vuoi che
>
> no, quello e' il DROP. Ovvero il target DROP scarta il pacchetto, il
> REJECT manda indietro l'apposito pacchetto che dice che la connessione
> e' stata rifiutata.
>
> --
> mattia

Non ne sono molto convinto; credo che di default REJECT mandi indietro un 
pacchetto del tipo "ICMP port-unreachable" (o comunque si tratta di un 
pacchetto icmp) in risposta al pacchetto syn che nel tcp serve per richiedere 
l'apertura di una connessione. Con la patch reject-with è naturalmente 
possibile cambiare la natura del pacchetto inviato(icmp-net-unreachable, 
icmp-host-unreachable, 
icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited, 
icmp-host-prohibited). Solo nel caso del reject with tcp reset viene 
rimandato indietro il pacchetto. E comunque non è possibile cambiarne il 
contenuto ( anche a volerlo "forgiare", ho seri dubbi che il client che tenta 
la connesisone possa poi capirne il senso). 
Naturalmente tutto imho. Se qualcuno ne sa di più...
Grazie

-- 
Lucius in  fabula
--www.lucius.it--
Reply to: