Re: Networking ideology questions.
> > 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен,
> > чем DROP? С одной стороны -- похоже, но не может ли на одних
> > режектах набежать трафика при должном подходе со стороны
> > злоумышленников?
> Значит так. Честные люди, которые хотят придерживаться RFC должны
> использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется
> подобающий ICMP.
А почему тогда policy REJECT не предусмотрено? :-]
// Я в курсе, что можно в хвост вставить соотв. правило. :-)
> > 2) Есть ли разница между:
> > -j DNAT --to-destination <local_ip>:<port>
> > и
> > -j REDIRECT --to-port <port>
> В первом случае, переводится и порт и адрес, во втором только порт. Т.е. если
> надо перебросить трафик на внутренний сервер используется DNAT если на другой
> порт этой же системы то REDIRECT.
По man iptables тоже так выходит.
Но почему тогда во всех FM про transparent proxying via Squid приводят
второй вариант?
> > 3) Есть ли разница между:
> > PORTS="21 53 80"
> > for P in $PORTS ; do
> > iptables <...> --dport $P <...>
> > done
> > и
> > iptables <...> --dport 21,53,80 <...>
> При первом варианте ты получаешь 3 правила а при втором одно.
Это-то понятно. :-)
Разница по скорости или еще по чему-нибудь будет?
Например, если у меня в лог что-то пишется -- будет разница, если
пришло что-то на порт 123 в случаях, если есть правила:
a) запрещен порт 123
b) запрещен порт 123,124,155:157
?
> > 5) При работе courier-imap через ssl авторизация будет шифроваться?
> В этом вся феня :)
То есть разрешив только ssl, я могу забыть про дополнительную шифровку
авторизации?
Ingvarr.
Reply to: