[Comm] DROP и REJECT в iptables-netfilter

[Маркелов Александр]

Olvin пишет:
> Маркелов Александр wrote:
> 
>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>
>> Выдержки из Iptables Tutorial 1.1.19
> 
> 
> Читал.
> 
>> "6.5.3. Действие DROP
>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его 
>> существовании. "Сброшенные" пакеты прекращают свое движение полностью, 
>> т.е. они не передаются в другие таблицы, как это происходит в случае с 
>> действием ACCEPT.
>> Следует помнить, что данное действие может иметь негативные последствия,
> 
>  > поскольку может оставлять незакрытые "мертвые" сокеты как на стороне 
> сервера,
>  > так и на стороне клиента, наилучшим способом защиты будет использование
>  > действия REJECT особенно при защите от сканирования портов."
> 
> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если 
> пакеты не него дропаются? Даже если будет сканирование, то что это даст 
> в последствии? Всё равно не удастся подсоединиться к порту...
Могу ошибаться, но можете попробовать следующие:
на интерфейсе на определенные порты в правилах iptables сделать DROP, а 
потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает, 
но он определаяет что порт filtered.

А про незакрытые сокеты, вроде как они остаются не закрытые, так как 
ответа никакого не получили когда DROP(наверное ждут таймаута), а когда 
REJECT то соответственно получат ответ в виде tcp-reset или что нибудь 
подобное и закроются.