Discussion:
DROP a REJECT
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Lukas
2005-05-05 18:30:55 UTC
Permalink
jaka jest roznica miedzy tymi regoklami w iptables?
Łukasz Bromirski
2005-05-05 18:45:40 UTC
Permalink
Post by Lukas
jaka jest roznica miedzy tymi regoklami w iptables?
http://lukasz.bromirski.net/docs/translations/linux24-pf.html :

"REJECT (ODRZUĆ)

Moduł ten ma takie samo działanie jak 'DROP', poza tym że to nadawcy
pakietu odsyłany jest pakiet ICMP 'port unreachable'. Weź jednak pod
uwagę fakt, że błąd ICMP nie zostanie odesłany jeśli [...]"
--
this space was intentionally left blank | Łukasz Bromirski
you can insert your favourite quote here | lukasz:bromirski,net
Lukasz Lacinski
2005-05-05 18:37:25 UTC
Permalink
Przy DROP pakiet jest odrzucany i tyle.
Przy REJECT pakiet jest odrzucany, a do jego
zrodla jest wysylany icmp (typ destination-unreachable,
jaki kod nie wiem).

latin
Lukas
2005-05-05 19:48:40 UTC
Permalink
Post by Lukasz Lacinski
Przy DROP pakiet jest odrzucany i tyle.
Przy REJECT pakiet jest odrzucany, a do jego
zrodla jest wysylany icmp (typ destination-unreachable,
jaki kod nie wiem).
latin
Aha, dzieki chlopaki, teraz juz jasne. Tylko np jaki jest cel robienia
REJECT a DROP.
NP jesli chce zablokowac porty na zewnatrz to chyba dobrze zrobic DROP niz
REJECT
aceJacek
2005-05-05 22:13:48 UTC
Permalink
Post by Lukas
Post by Lukasz Lacinski
Przy DROP pakiet jest odrzucany i tyle.
Przy REJECT pakiet jest odrzucany, a do jego
zrodla jest wysylany icmp (typ destination-unreachable,
jaki kod nie wiem).
Aha, dzieki chlopaki, teraz juz jasne. Tylko np jaki jest cel robienia
REJECT a DROP.
NP jesli chce zablokowac porty na zewnatrz to chyba dobrze zrobic DROP niz
REJECT
Jeżeli odpowiesz REJECT dasz informację, że ten port jest zamknięty i nie ma
co do niego pukać. Jeżeli powiesz DROP, udasz dziurę w necie, a klient może
tylko domyslac się, że port jest zamknięty - error może być "gdzieś na
łączach" więc prawdopodobnie spróbuje za chwilę i jeszcze za chwilę, i jeszcze
jeden raz, i jeszcze jeden raz, i dla pweności raz jeszcze.

Dlatego prawdziwi h4x3rs zamiast DROP używają TARPIT. Fajowy dodatek z p-o-m,
który podtrzymuje połączenie ignorując requesty zerwania połączenia, defacto
blokując "atakującego". Polecane zwłaszcza do blokowania portów 138, 139
i innych "wirusonośnych".

zdrówka życzę,
--
aceJacek
http://olewaczers.eu.org/
Lukas
2005-05-07 08:22:02 UTC
Permalink
Post by aceJacek
Post by Lukas
Post by Lukasz Lacinski
Przy DROP pakiet jest odrzucany i tyle.
Przy REJECT pakiet jest odrzucany, a do jego
zrodla jest wysylany icmp (typ destination-unreachable,
jaki kod nie wiem).
Aha, dzieki chlopaki, teraz juz jasne. Tylko np jaki jest cel robienia
REJECT a DROP.
NP jesli chce zablokowac porty na zewnatrz to chyba dobrze zrobic DROP niz
REJECT
Jeżeli odpowiesz REJECT dasz informację, że ten port jest zamknięty i nie ma
co do niego pukać. Jeżeli powiesz DROP, udasz dziurę w necie, a klient może
tylko domyslac się, że port jest zamknięty - error może być "gdzieś na
łączach" więc prawdopodobnie spróbuje za chwilę i jeszcze za chwilę, i jeszcze
jeden raz, i jeszcze jeden raz, i dla pweności raz jeszcze.
Dlatego prawdziwi h4x3rs zamiast DROP używają TARPIT. Fajowy dodatek z p-o-m,
który podtrzymuje połączenie ignorując requesty zerwania połączenia, defacto
blokując "atakującego". Polecane zwłaszcza do blokowania portów 138, 139
i innych "wirusonośnych".
zdrówka życzę,
ooo a tego to niewiedzialem
dzieki serdeczne za info
pozdrawiam i zdrowia rozwniez zycze
GreDi
2005-05-08 10:43:59 UTC
Permalink
Post by aceJacek
Post by aceJacek
Post by Lukas
Post by Lukasz Lacinski
Przy DROP pakiet jest odrzucany i tyle.
Przy REJECT pakiet jest odrzucany, a do jego
zrodla jest wysylany icmp (typ destination-unreachable,
jaki kod nie wiem).
Aha, dzieki chlopaki, teraz juz jasne. Tylko np jaki jest cel robienia
REJECT a DROP.
NP jesli chce zablokowac porty na zewnatrz to chyba dobrze zrobic DROP
niz
Post by aceJacek
Post by Lukas
REJECT
Jeżeli odpowiesz REJECT dasz informację, że ten port jest zamknięty i nie
ma
Post by aceJacek
co do niego pukać. Jeżeli powiesz DROP, udasz dziurę w necie, a klient
może
Post by aceJacek
tylko domyslac się, że port jest zamknięty - error może być "gdzieś na
łączach" więc prawdopodobnie spróbuje za chwilę i jeszcze za chwilę, i
jeszcze
Post by aceJacek
jeden raz, i jeszcze jeden raz, i dla pweności raz jeszcze.
Dlatego prawdziwi h4x3rs zamiast DROP używają TARPIT. Fajowy dodatek z
p-o-m,
Post by aceJacek
który podtrzymuje połączenie ignorując requesty zerwania połączenia,
defacto
Post by aceJacek
blokując "atakującego". Polecane zwłaszcza do blokowania portów 138, 139
i innych "wirusonośnych".
zdrówka życzę,
ooo a tego to niewiedzialem
dzieki serdeczne za info
pozdrawiam i zdrowia rozwniez zycze
ja tez nie :D

Jacek Czerwinski
2005-05-05 19:18:52 UTC
Permalink
Thu, 5 May 2005 20:30:55 +0200, na pl.comp.os.linux.sieci, Lukas
Post by Lukas
jaka jest roznica miedzy tymi regoklami w iptables?
Reject wyraznie odsyla od razu do remote negatywny wynik.
Drop nic nie robi (cisza jak grób), zmuszając remote do timeoutu. Ten
teoretycznie symuluje brak hosta/usługi ale pewnie hakiery mają na to jakiś
sposób ?
Loading...