[Comm] DROP vs. REJECT (was: Linux Gate)

[Andrey Rahmatullin]

On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:

[...]
> Еще полезно
> 
> -A INPUT -m state --state INVALID,NEW -j DROP
> 
> и в конце (при этом chain policy == ACCEPT)
> 
> -A INPUT -j REJECT --reject-with icmp-host-unreachable
> 
> -- если не требуется именно дропать (большой паразитный трафик),
> то это сделает наш файрвол внешне неотличимым от просто
> открытых/закрытых портов.
[...]

Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная
маштеа получает просто таймаут, а при режекте что-то типа "нет такого
адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)?
Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно
для диалапного десктопа без локалки)

-- 
По "техническим причинам" я буду молчать или реагировать с бооольшой
задержкой на все почтовое в лучшем случае до понедельника следующей недели.
		-- ldv in devel@
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20031127/513bdb4a/attachment-0002.bin>