Разница между этими действиями и заключается в том,
что DROP - это "чёрная дыра", а REJECT корректно разры-
вает TCP соединение отсылая флаг RST.
К стати, сканеры портов это дело отслеживают, и в случае
REJECT оповещают о том, что де порт отфильтрован (filtered).
Прикрывать порты снаружи имхо лучше дропом (безопаснее).
Хотя где-то может больше подойдёт REJECT.
(Если ничего не напутал:)

-

>Если при использовании DROP'а остаются висячие незакрытые сесси, но есть REJECT, значит ли это, что DROP следует СОВСЕМ не использовать?

DROP обычно пользуют для ICMP и UDP (шоб лишний ICMP рафик не генерить)

BTW: а какое тебе дело если у когото какие то сессии висят ;)

-

>REJECT корректно разры- вает TCP соединение отсылая флаг RST.

Неправильно.

В данном случае отсылается ICMP Port Unreachable

Так, а как тогда можно "скрыть" открытые порты? Чтоб некоторые показывались и корректно работали, а некоторые были не видны вообще, как будто бы они закрыты?

Насколько я понял, если рубать DROP'ом, то с точки зрения сканера, его запросы уходят в рельсу, т.е. нет никого, все ушли на фронт :)

А если резать REJECT'ом - то фаерволом посылается ответ - "иди ты сам в рельсу!" Следовально сервис есть, но доступа нет.

-

2fagot

Прально понял ;)

За исключением того что сервиса может и не быть но порт будет недоступен...

-

>Так, а как тогда можно "скрыть" открытые порты? Чтоб некоторые показывались и корректно работали, а некоторые были не видны вообще, как будто бы они закрыты?

Я решал такую задачу путем редиректа пакетов

схема работала таким образом

- если адрес отправителя совпадает с разрешенным адресом то пакет просто пропускается (устанавливается соединение) - если адрес отправителя не совпадает с разрешенным то пакет редиректится на любой незанятый порт и система отвечает RST | ASK пакетом - типа никакого сервусу тута и нету ;)

Люди говорят, что это не так: когда пакет прихоит на несуществующий порт - шлется ответ, а если сделать DROP, то ответа не будет, следовательно ваш ответ правильный до наоборот :-)
И вообще, сделайте DROP и REJECT, просканьте себя и посмотрите что выйдет. А перед тем, как делать REJECT посмотрите tcpdump-ом что будет, если послать пакет на никем не открытый и не фильтруемый порт Unix-овой тачилы. Вставьте этот ответ в свой REJECT и сканьте.

Попробовал.

При DROP'е nmap говорит, что порт filtered, при REJECT'е - не видит совсем

>когда пакет прихоит на несуществующий порт - шлется ответ

Это что же выходит, можно сделать DoS даже на необсуживаемых портах????

>если адрес отправителя совпадает с разрешенным адресом то пакет
>просто пропускается (устанавливается соединение) - если адрес
>отправителя не совпадает с разрешенным то пакет редиректится на
>любой незанятый порт и система отвечает RST | ASK пакетом - типа
>никакого сервусу тута и нету ;)

намного проще использовать -j REJECT --reject-with tcp-reset ;)

-

2Rost

>намного проще использовать -j REJECT --reject-with tcp-reset ;

Для этих целей да - там цели были чуток другие ;)

Re:

А можно ли используя IPF/IPFW также скрывать открытые порты?