[Sysadmins] безопасность
Sergei Boudnik
=?iso-8859-1?q?sergei_=CE=C1_boudnik=2Ekiev=2Eua?=
Пн Авг 28 13:42:47 MSD 2006
ABATAPA пишет:
> 28 августа 2006 12:18, Sergei Boudnik написал:
>
>>Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP
>
> Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при
> сканировании определить использующиеся порты, а во-вторых, при работе через
> спутник может дать кое-кому хороший шанс...
> use REJECT reject-with tcp-reset
>
ICMP пакеты - хорошее средство для DDoS-атак, да и попадание на трафике
может получиться не малое. Поэтому политика (-P) REJECT в iptables не
предусмотрена.
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap на wildlist.org.ua
Подробная информация о списке рассылки Sysadmins