Почему дропнутый порт отвечает SYN ACK на SYN ?

0

0

почему при таком раскладе при соединении телнетом на дропнутый порт 110 получаю syn ack в ответ и после на каждый посланный пакет ask, так продолжантся сек. 15 потом приходит RST, хотя и до демона POP не достучаться(что и требовалось для примера) но почему порт не дропается как положено? безо всяких SYN ACK ?
*filter
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:INPUT ACCEPT [0:0]
-A INPUT -p tcp  --dport 135 -j ACCEPT
-A INPUT -p tcp  --dport 136 -j ACCEPT
-A INPUT -p tcp  --dport 137 -j ACCEPT
-A INPUT -p tcp  --dport 138 -j ACCEPT
-A INPUT -p tcp  --dport 139 -j ACCEPT
-A INPUT -p tcp  --dport 445 -j ACCEPT
-A INPUT -p udp  --dport 123 -j ACCEPT
-A INPUT -p tcp  --dport 5222 -j ACCEPT
-A INPUT -p tcp  --dport 5555 -j ACCEPT

-A INPUT -p tcp  --dport 110 -j DROP

-A INPUT -p udp --dport 5555 -j ACCEPT
-A INPUT -p tcp  --dport 8767 -j ACCEPT
-A INPUT -p tcp  --dport 14534 -j ACCEPT
-A INPUT -p tcp  --dport 22 -j ACCEPT
-A INPUT -p tcp  --dport 80 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -j DROP
COMMIT

Ссылка

←	Не работает locate в Дженте.

Вопрос о Emacs

→

сейчас оставил правила
*filter
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INPUT DROP [0:0]
COMMIT

и всё равно видно порты работающих сервисов, правда до них не пробиться но syn ack приходит :( почему ядро отвечает так на дропнутые порты? как убрать эту гадость?























1Help   2Save   3Mark   4Replac 5Copy   6Move   7Search 8Delete 9PullDn 10Quit

anonymous
(02.10.04 14:09:32 MSD)

Ответ на: комментарий от anonymous 02.10.04 14:09:32 MSD

Вот тебя и надо спросит почему у тебя все видно? У меня нифига в ответ после DROP не проходит. Понятно, что проверять правила iptables нужно не с той же машины, где эти правила настраиваешь, а что бы пакеты действительно шли через сеть.

mky ★★★★★
(02.10.04 16:01:56 MSD)

Ответ на: комментарий от mky 02.10.04 16:01:56 MSD

>что проверять правила iptables нужно не с той же машины не надо делать из меня дурачка, проблема уже решена, на виндовой машине с которой я коннектился телнетом и сканером был запущен winroute что странно для локалки всё разрешено в его правилах.... НО снифер под виндами видит как будто приходит син аск на попытку подключения к машине закрытой iptables, я в полном недоумении... но факт, тормознул винроут и всё отлсно дропается как положено... почему так?

anonymous
(02.10.04 17:38:26 MSD)