Re: Networking ideology questions.
On Wednesday 21 November 2001 09:12 am, Ingvarr Zhmakin wrote:
> > > 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен,
> > > чем DROP? С одной стороны -- похоже, но не может ли на одних
> > > режектах набежать трафика при должном подходе со стороны
> > > злоумышленников?
> >
> > Значит так. Честные люди, которые хотят придерживаться RFC должны
> > использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется
> > подобающий ICMP.
>
> А почему тогда policy REJECT не предусмотрено? :-]
> // Я в курсе, что можно в хвост вставить соотв. правило. :-)
Потому, что ( я так думаю ) policy идет на все пакеты которые к тебе на
интерфейс приходят, а слать ICMP ошибку положено только на TCP/UDP.
Представь что твоя система посылает ICMP пакет в ответ на любой пришедшый
пакет. Страшно? Вот то-то! :)
>
>
> > > 2) Есть ли разница между:
> > > -j DNAT --to-destination <local_ip>:<port>
> > > и
> > > -j REDIRECT --to-port <port>
> >
> > В первом случае, переводится и порт и адрес, во втором только порт. Т.е.
> > если
надо перебросить трафик на внутренний сервер используется DNAT
> > если на другой порт этой же системы то REDIRECT.
>
> По man iptables тоже так выходит.
> Но почему тогда во всех FM про transparent proxying via Squid приводят
> второй вариант?
Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и
firewall оба на одной машине стоят.
>
>
> > > 3) Есть ли разница между:
> > > PORTS="21 53 80"
> > > for P in $PORTS ; do
> > > iptables <...> --dport $P <...>
> > > done
> > > и
> > > iptables <...> --dport 21,53,80 <...>
> >
> > При первом варианте ты получаешь 3 правила а при втором одно.
>
> Это-то понятно. :-)
> Разница по скорости или еще по чему-нибудь будет?
> Например, если у меня в лог что-то пишется -- будет разница, если
> пришло что-то на порт 123 в случаях, если есть правила:
> a) запрещен порт 123
> b) запрещен порт 123,124,155:157
> ?
>
Если заглянуть ( только осторожно ) в сорс от iptables, то очевидно, что по
скорости это одна фигня. С логами же дело в том, что ( если я правильно помню
) логи с iptables пишутся в зависимости от пакета а не от правила. Два
одинаковых пакета оставят одинаковые записи в не зависимости от того какие
правила их отфутболили.
>
> > > 5) При работе courier-imap через ssl авторизация будет шифроваться?
> >
> > В этом вся феня :)
>
> То есть разрешив только ssl, я могу забыть про дополнительную шифровку
> авторизации?
Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про
восможность MITM атак.
>
> Ingvarr.
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
Reply to: