[Comm] DROP и REJECT в iptables-netfilter

Маркелов Александр =?iso-8859-1?q?ml_=CE=C1_13=2Enet=2Eru?=
Чт Мар 31 16:20:32 MSD 2005


Olvin пишет:
> Что лучше использовать и в каких случаях: DROP или REJECT?
Выдержки из Iptables Tutorial 1.1.19
"6.5.3. Действие DROP

Данное действие просто "сбрасывает" пакет и iptables "забывает" о его 
существовании. "Сброшенные" пакеты прекращают свое движение полностью, 
т.е. они не передаются в другие таблицы, как это происходит в случае с 
действием ACCEPT. Следует помнить, что данное действие может иметь 
негативные последствия, поскольку может оставлять незакрытые "мертвые" 
сокеты как на стороне сервера, так и на стороне клиента, наилучшим 
способом защиты будет использование действия REJECT особенно при защите 
от сканирования портов."

"6.5.10. Действие REJECT

REJECT используется, как правило, в тех же самых ситуациях, что и DROP, 
но в отличие от DROP, команда REJECT выдает сообщение об ошибке на хост, 
передавший пакет. Действие REJECT на сегодняшний день может 
использоваться только в цепочках INPUT, FORWARD и OUTPUT (и во вложенных 
в них цепочках). Пока существует только единственный ключ, управляющий 
поведением команды REJECT."

А вообще лутше прочитать 
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
И не один раз :)



Подробная информация о списке рассылки community