On Fri, 12 Sep 2003 19:36:01 +0200 Michelle Konzack wrote: > On 2003-09-12 16:16:13, Andreas Kretschmer wrote: >>am Fri, dem 12.09.2003, um 15:48:10 +0200 mailte Michelle Konzack folgendes: >>> On 2003-09-10 11:44:14, Andre Frimberger wrote: >>> >>> zuerst hatt ich es mit 'deny' versucht. Dann sagte mir jemand von >> >>DROP ist insofern richtig, daß keine Antwort rausgeht. Es ist aber >>erstens kein Beitrag zur Sicherheit (siehe FAQ von Lutz D.) und asozial. >> >>> einer firwall liste das ich stattdessen 'reject' verwenden soll... >> >>Ein Reject schickt ja auch wieder was zurück->Traffic. Man könnte >>latürnich bei dem 135-Scheiß drüber nachdenken, es doch zu DROPen, um >>Traffic zu sparen. > > Darum geht es mir... Ich will den Schrott nicht zurücksenden. Die Frage ist, ob man wirklich Traffic spart. Benutzt du REJECT, wird ein ICMP Paket zurückgeschickt und die Gegenseite weiß, dass auf dem entsprechenden Port keine Verbindungen angenommen werden. Bei DROP werden die meisten Anwendungen es ein paar mal mehr versuchen, weil es so aussieht, als ob das Paket irgendwo unterwegs verloren gegangen ist. Bei 4662 braucht man sich übrigens keine Sorgen zu machen, e-mule kümmert sich einen Sch*** um ein "connection refused". Ich glaube mit dem 2.4er Kernel sollte es möglich sein eine Art Zwischenlösung zu bauen, indem man die Anzahl der ICMP Pakete pro Zeiteinheit limitiert (geht das vielleicht auch mit 2.2?). Falls jemand so was hat: bitte posten. Gruß, David
Attachment:
pgpFEPyLIfmaJ.pgp
Description: PGP signature