LINUX.ORG.RU
ФорумAdmin

[iptables] DROP vs. REJECT


0

1

Приветствую.

Что лучше применять к «левым» пакетам — DROP или REJECT. Если я правильно понял из подобных обсуждений, при DROP у какера Васи будет висеть незакрытое соединение. При REJECT происходит корректное закрытие. Так что лучше?

При этом на моей машине соответствующее соединение закрывается при любом способе сброса пакета, правильно?

★★★★★

> При этом на моей машине соответствующее соединение закрывается при любом способе сброса пакета, правильно?

Не совсем. Если до этого был принят SYN-пакет, то в случае последующего DROP'а у тебя будет висеть незакрытое соединение. Убедись, что удалённая сторона вообще не может установить соединение.

Chaser_Andrey ★★★★★ ()

Для удалённой стороны DROP выглядит, словно хост недоступен. Но если по другим портам он подает признаки жизни (т.е., шлет RST), то легко понять, что на машинке что под этим портом скрыта служба, и скорее всего, не просто так. Редко, но всё же это может играть важную роль.

Chaser_Andrey ★★★★★ ()

Если тебе попытаются забить канал, то используя REJECT, ты будешь себе забивать исходящий. Ещё не следует злоупотреблять REJECT, если у тебя исходящий весьма узок.

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

>Если до этого был принят SYN-пакет, то в случае последующего DROP'а у тебя будет висеть незакрытое соединение.

В случае REJECT'а оно закроется?

fat_angel ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

>Ещё не следует злоупотреблять REJECT, если у тебя исходящий весьма узок.

Таки да, ADSL.

fat_angel ★★★★★ ()
Ответ на: комментарий от fat_angel

>>А если серьезно — так кто-нибудь поступает?

бинди сетевые сервисы только на нужные адреса.

exception13 ★★★★★ ()
Ответ на: комментарий от fat_angel

так кто-нибудь поступает?

нет потому что злоумышленник может подменить src ip и через тебя таким образом кого-нить атаковать.

Ставь reject, всё равно кому надо просканируют и с drop, а тебе с reject жить будет проще.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

DROP хорош, например, для отлупа тупых брутфорс-ботов. А вообще tarpit наше все :)

leave ★★★★★ ()

Я лично дропом лупашу FTP ботов которые ссылки выкладывают или брутфорсеров. По IP :D

Neoretix ()
Ответ на: комментарий от Neoretix

Мда, действительно, все очевидное просто. А откуда IP мерзавца берешь? Не ручками же из логов выковыриваешь?

fat_angel ★★★★★ ()
Ответ на: комментарий от fat_angel

Прошу прощения за столь дурацкие вопросы. Я просто раньше не заморачивался настройкой пакетного фильтра, но озаботившись хочу сделать все хорошо.

fat_angel ★★★★★ ()
Ответ на: комментарий от fat_angel

>А откуда IP мерзавца берешь? Не ручками же из логов выковыриваешь?

fail2ban, не?

Mr_Alone ★★★★★ ()
Ответ на: комментарий от fat_angel

Вот как раз-таки выковыриваю ручками из логов proftpd, сравнивая время открытия сессии со временем создания файла. Ну а брутфорсера сложно не заметить :]

Neoretix ()
Ответ на: комментарий от Mr_Alone

Спасибо, что открыл для меня fail2ban :]

Правда, за постинг файлов он, скорее всего, не накажет.

Neoretix ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.