[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: UDP-Port 135



On Fri, 12 Sep 2003 19:36:01 +0200 Michelle Konzack wrote:

> On 2003-09-12 16:16:13, Andreas Kretschmer wrote:
>>am  Fri, dem 12.09.2003, um 15:48:10 +0200 mailte Michelle Konzack folgendes:
>>> On 2003-09-10 11:44:14, Andre Frimberger wrote:
>>> 
>>> zuerst hatt ich es mit 'deny' versucht. Dann sagte mir jemand von 
>>
>>DROP ist insofern richtig, daß keine Antwort rausgeht. Es ist aber
>>erstens kein Beitrag zur Sicherheit (siehe FAQ von Lutz D.) und asozial.
>>
>>> einer firwall liste das ich stattdessen 'reject' verwenden soll...
>>
>>Ein Reject schickt ja auch wieder was zurück->Traffic. Man könnte
>>latürnich bei dem 135-Scheiß drüber nachdenken, es doch zu DROPen, um
>>Traffic zu sparen.
>
> Darum geht es mir... Ich will den Schrott nicht zurücksenden.  

Die Frage ist, ob man wirklich Traffic spart.  Benutzt du REJECT, wird
ein ICMP Paket zurückgeschickt und die Gegenseite weiß, dass auf dem
entsprechenden Port keine Verbindungen angenommen werden.

Bei DROP werden die meisten Anwendungen es ein paar mal mehr
versuchen, weil es so aussieht, als ob das Paket irgendwo unterwegs
verloren gegangen ist.

Bei 4662 braucht man sich übrigens keine Sorgen zu machen, e-mule
kümmert sich einen Sch*** um ein "connection refused".

Ich glaube mit dem 2.4er Kernel sollte es möglich sein eine Art
Zwischenlösung zu bauen, indem man die Anzahl der ICMP Pakete pro
Zeiteinheit limitiert (geht das vielleicht auch mit 2.2?).

Falls jemand so was hat: bitte posten.

Gruß,

David

Attachment: pgpEXgequQict.pgp
Description: PGP signature


Reply to: