iptables: drop&deny

0

0

Как в iptables сделать порт не filtered, а closed? пишу например: #iptables -A INPUT -p tcp --dport 22 -j DROP проверяю себя же nmap-ом: #nmap localhost (The 1656 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp filtered ssh

Чем-нибудь этот filtered от close то наверняка отличается, а чем? Во всех доках написано, что DENY закрывает порт, а iptables пишет: # iptables -A INPUT -p tcp --dport 22 -j DENY iptables v1.2.11: Couldn't load target `DENY':/lib/iptables/libipt_DENY.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

или мне нужно где-то этот deny модуль себе найти?

Ссылка

←	alsa-1.0.7 и звук 5.1

Как заставить Оракл 9.2 использовать Hugetlbfs?

→

Drop от Dany вроде не чем не отличаются ... за то есть Reject ...

Drop - дропает пакеты Reject - посылает уведемлеие о том что порт закрыт ж)

anonymous
(11.01.05 04:01:57 MSK)

Ответ на: комментарий от anonymous 11.01.05 04:01:57 MSK

> Drop - дропает пакеты Reject - посылает уведемлеие о том что порт закрыт

И вот тут в файрволлостроении начинается выбор между двумя возможностями: дать злоумышленнику понять, что файрволл таки есть либо машина вообще выключена (DROP) или что на данном конкретном порту просто ничего нет (REJECT). DROP замедляет процесс сканирования, ибо сканер вынужден ждать ответа определённое время, REJECT -- нет. В случае REJECT есть ненулевая вероятность получить DoS.

Obidos ★★★★★
(11.01.05 09:48:49 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	alsa-1.0.7 и звук 5.1

General

Как заставить Оракл 9.2 использовать Hugetlbfs?

→

Похожие темы