История изменений
Исправление firkax, (текущая версия) :
Согласен, что я в том посте не дописал, что как вариант, в ответ на SYN может и RST пакет прийти
Так дело в том что это не просто вариант, а дефолт, который имеется в 99% случаев. А ответы icmp-пакетами на tcp syn это редкая экзотика.
Хотя -j REJECT оказывается и правда дефолтно шлёт icmp, но его доля в обработке tcp syn-ов в среднем по миру исчезающе мала (а ты писал именно про реакцию на syn вообще, а не про то как его файрволлом отклонять). В подавляющем большинстве случаев, если ответ не SYN+ACK, то там либо RST от порта который просто никто не слушает, либо drop в файрволле и ответа нет вообще. А вот на нерабочие udp-порты отвечаются icmp, да.
Исходная версия firkax, :
Согласен, что я в том посте не дописал, что как вариант, в ответ на SYN может и RST пакет прийти
Так дело в том что это не просто вариант, а дефолт, который имеется в 99% случаев. А ответы icmp-пакетами на tcp syn это редкая экзотика.
Хотя -j REJECT оказывается и правда дефолтно шлёт icmp, но его доля в обработке tcp syn-ов в среднем по миру исчезающе мала (а ты писал именно про реакцию на syn вообще, а не про то как его файрволлом отклонять).