Re: Networking ideology questions.

To: debian-russian@lists.debian.org
Subject: Re: Networking ideology questions.
From: Dmitriy Kropivnitskiy <jeld@mindless.com>
Date: Wed, 21 Nov 2001 09:32:55 -0500
Message-id: <[🔎] 200111211432.fALEWuf12588@zaphod.tigertesting.com>
Reply-to: jeld@mindless.com
In-reply-to: <[🔎] 20011121171242.A19366@haunt>
References: <[🔎] 20011121155646.D17205@haunt> <[🔎] 200111211344.fALDiLw12347@zaphod.tigertesting.com> <[🔎] 20011121171242.A19366@haunt>

On Wednesday 21 November 2001 09:12 am, Ingvarr Zhmakin wrote:
> > > 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен,
> > >    чем DROP? С одной стороны -- похоже, но не может ли на одних
> > >    режектах набежать трафика при должном подходе со стороны
> > >    злоумышленников?
> >
> > Значит так. Честные люди, которые хотят придерживаться RFC должны 
> > использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется 
> > подобающий ICMP. 
>
> А почему тогда policy REJECT не предусмотрено? :-]
> // Я в курсе, что можно в хвост вставить соотв. правило. :-)

Потому, что ( я так думаю ) policy идет на все пакеты которые к тебе на 
интерфейс приходят, а слать ICMP ошибку положено только на TCP/UDP.
Представь что твоя система посылает ICMP пакет в ответ на любой пришедшый 
пакет. Страшно? Вот то-то! :)

> 
>
> > > 2) Есть ли разница между:
> > >       -j DNAT --to-destination <local_ip>:<port>
> > >    и
> > >       -j REDIRECT --to-port <port>
> >
> > В первом случае, переводится и порт и адрес, во втором только порт. Т.е.
> > если 
 надо перебросить трафик на внутренний сервер используется DNAT
> > если на другой порт этой же системы то REDIRECT.
>
> По man iptables тоже так выходит.
> Но почему тогда во всех FM про transparent proxying via Squid приводят
> второй вариант? 

Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и 
firewall оба на одной машине стоят.

>   
>
> > > 3) Есть ли разница между:
> > >       PORTS="21 53 80"
> > >       for P in $PORTS ; do
> > >          iptables <...> --dport $P <...>
> > >       done
> > >    и
> > >       iptables <...> --dport 21,53,80 <...>
> >
> > При первом варианте ты получаешь 3 правила а при втором одно.
>
> Это-то понятно. :-)
> Разница по скорости или еще по чему-нибудь будет?
> Например, если у меня в лог что-то пишется -- будет разница, если
> пришло что-то на порт 123 в случаях, если есть правила:
>        a) запрещен порт 123
>        b) запрещен порт 123,124,155:157
> ?
>                           

Если заглянуть ( только осторожно ) в сорс от iptables, то очевидно, что по 
скорости это одна фигня. С логами же дело в том, что ( если я правильно помню 
) логи с iptables пишутся в зависимости от пакета а не от правила. Два 
одинаковых пакета оставят одинаковые записи в не зависимости от того какие 
правила их отфутболили.

>
> > > 5) При работе courier-imap через ssl авторизация будет шифроваться?
> >
> > В этом вся феня :)
>
> То есть разрешив только ssl, я могу забыть про дополнительную шифровку
> авторизации?

Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про 
восможность MITM атак.
> 
>                    Ingvarr.
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-russian-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>

References:
- Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>
- Re: Networking ideology questions.
  - From: Dmitriy Kropivnitskiy <jeld@mindless.com>
- Re: Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>

Prev by Date: Re: ssh client
Next by Date: Re: За чистоту русского языка | Re: Holy war
Previous by thread: Re: Networking ideology questions.
Next by thread: Re: Networking ideology questions.
Index(es):
- Date
- Thread