[Comm] DROP и REJECT в iptables-netfilter

[Olvin]

Маркелов Александр wrote:

>>>> Что лучше использовать и в каких случаях: DROP или REJECT?
>>> Выдержки из Iptables Tutorial 1.1.19
>> Читал.
>>> "6.5.3. Действие DROP
>>> Данное действие просто "сбрасывает" пакет и iptables "забывает" о его 
>>> существовании. "Сброшенные" пакеты прекращают свое движение 
>>> полностью, т.е. они не передаются в другие таблицы, как это 
>>> происходит в случае с действием ACCEPT.
>>> Следует помнить, что данное действие может иметь негативные последствия,
>>> поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера,
>>> так и на стороне клиента, наилучшим способом защиты будет использование
>>> действия REJECT особенно при защите от сканирования портов."
>> Вот по этому отрывку и возник вопрос. Так как же порт не закрыт, если 
>> пакеты не него дропаются? Даже если будет сканирование, то что это 
>> даст в последствии? Всё равно не удастся подсоединиться к порту...
> Могу ошибаться, но можете попробовать следующие:
> на интерфейсе на определенные порты в правилах iptables сделать DROP, а 
> потом пройтись nmapом по этому интерфейсы, не знаю как уж он это делает, 
> но он определаяет что порт filtered.
Ладно, спрошу по другому: ну определил кто-нибудь, что filtered, ну и 
какая от этого _практическая_ польза в плане взлома сервера?