[linux] ipchains a RST

[Matus "fantomas" Uhlar]

-> Zdravim,
-> je naozaj "bezpecnejsie", aby firewall namiesto toho, aby (TCP) pakety
-> zahadzoval, posielal radsej RST ?

bezpecnejsie ? nie. Avsak je rozdiel ak pri pokuse zvonka naviazat spojenie pride X tcp
paketov kym na druhej strane tcp vrstva nevyhlasi timeout a ak pride jeden
paket a hned sa posle RST a na druhej strane tcp vrstva zisti ze to nepojde
a connect zastavi hned. Znamena to teda viac paketov smerovanych von a menej
paketov smerovanych dovnutra.

Na druhej strane, prije.ane programy (priklad: IRC roboty a klienti) ktore
sa vecne pokusaju connectovat aj ked sa to neda ti mozu zvysit zataz linky
obojsmerne... pakety dnu budu chodit stale a von tiez. Na druhej strane sa
vsak o dost zvysi zataz CPU. v kazdom pripade, nastavit to odporucam.

-> Ako by sa to dalo nastavit ? V dokumentacii k ipchains som o takejto
-> moznosti nic nenasiel...

na linuxe nie... teda, neviem ako je na tom 2.4; zatial mozes cez IPchains
pouzit bud DENY na to aby sa pakety zahadzovali alebo REJECT ktory neposiela
TCP reset ale ICMP error - port unreachable (tusim port, nie som si na100%
isty). Sice to niektore zafirewalloane masiny s drbnutymi spravcami
(odfiltruju komplet ICMP) nezistia nuz ale ... kto je vol tak mu treba.

(mne nedavno dosla emailom staznost ze mu vraj floodujeme masinu
ICMPckami... ked som sa pozrel na logy a zistil ze su to ICMP port
unreachable tak som mu napisal mily mail naspat...)

Vo vseobecnosti, ak chces dat vediet ze ide o firewall a nie ze je to
filter, pouzi TCP reset, ak je mozny - vo FreeBSD sa to da...

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 Saving Private Ryan...
 Private Ryan exists. Overwrite? (Y/N)