[Comm] DROP и REJECT в iptables-netfilter
Маркелов Александр
=?iso-8859-1?q?ml_=CE=C1_13=2Enet=2Eru?=
Чт Мар 31 17:12:50 MSD 2005
Olvin пишет:
> Маркелов Александр wrote:
>
>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>
>> Выдержки из Iptables Tutorial 1.1.19
>
>
> Читал.
>
>> "6.5.3. Действие DROP
>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его
>> существовании. "Сброшенные" пакеты прекращают свое движение полностью,
>> т.е. они не передаются в другие таблицы, как это происходит в случае с
>> действием ACCEPT.
>> Следует помнить, что данное действие может иметь негативные последствия,
>
> > поскольку может оставлять незакрытые "мертвые" сокеты как на стороне
> сервера,
> > так и на стороне клиента, наилучшим способом защиты будет использование
> > действия REJECT особенно при защите от сканирования портов."
>
> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если
> пакеты не него дропаются? Даже если будет сканирование, то что это даст
> в последствии? Всё равно не удастся подсоединиться к порту...
Могу ошибаться, но можете попробовать следующие:
на интерфейсе на определенные порты в правилах iptables сделать DROP, а
потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает,
но он определаяет что порт filtered.
А про незакрытые сокеты, вроде как они остаются не закрытые, так как
ответа никакого не получили когда DROP(наверное ждут таймаута), а когда
REJECT то соответственно получат ответ в виде tcp-reset или что нибудь
подобное и закроются.
Подробная информация о списке рассылки community