,------[Oleg Gashev 04/06/2008 20:36 (GMT +3)
| Приветствую!
|
| Покотиленко Костик wrote:
| > При хорошем скане REJECT=смерть, лучше DROP.
|
| 6.5.3. Действие DROP
|
| Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
| существовании. "Сброшенные" пакеты прекращают свое движение полностью,
| т.е. они не передаются в другие таблицы, как это происходит в случае с
| действием ACCEPT. Следует помнить, что данное действие может иметь
| негативные последствия, поскольку может оставлять незакрытые "мертвые"
| сокеты как на стороне сервера, так и на стороне клиента, наилучшим
| способом защиты будет использование действия REJECT особенно при защите
| от сканирования портов.
|
| http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DROPTARGET
`-----------------
Бред какой-то.
Трафик до сокетов не доберется т.к. он будет подропан фаерволом.
Иначе какой толк от фаервола?
Может про сторону "сервера" имелся ввиду трафик, идущий _от_ защищаемой машины?
От REJECT будет много ответного трафика и атакуемая (защищаемая) машина
вынуждена будет отвечать, тратя свои ресурсы.
--
Best regards,
Mikhail
Attachment:
signature.asc
Description: This is a digitally signed message part.