Jürgen Knelangen schrieb am Montag, 20. September 2004 11:17:
On Mon, Sep 20, 2004 at 10:41:44AM +0200, Michael wrote:
Am Montag, 20. September 2004 09:58 schrieb Jürgen Knelangen:
On Mon, Sep 20, 2004 at 09:12:48AM +0200, Torsten E. wrote:
Martin Schmitz schrieb am Sonntag, 19. September 2004 22:56:
On Sunday 19 September 2004 16:53, Torsten E. wrote:
[...]
Also Jürgen Knelangen, man muß Leuten nicht gleich asoziales Verhalten vorwerfen nur weil sie Verbindungen Droppen und nicht Rejecten.
Hmpf. Ich schrieb man _könne_ es asozial nennen.
Da brauch man sich dann auch nicht über entsprechende gegenreaktionen zu wundern wie sie am Ende Eures Disputs nachzulesen sind. Zumal mir auch nicht ganz klar ist welches denn die "legitimen User" sein sollen die da in Mitleidenschaft gezogen werden.
Jeder der ohne böse Absicht einen Verbindungsaufbau begehrt, hat IMHO das Recht ein REJECT zu bekommen. Dann weiss man sofort, daß der Dienst nicht zu Verfügung steht.
Hat er nicht, da er nicht sicherstellen kann, daß das von ihm generierte Paket auch an den richtigen Empfänger geht. Er geht lediglich davon aus, er nimmt also an, daß das Paket an den vermeintlich richtigen Empfänger gesendet wird. Zusätzlich kommt in diesem (meinem) Fall hinzu: die Einwahl (Vergabe der IP-Adresse) fand etwa 75 Minuten VOR dem ersten erhaltenen Paket statt. Weiterhin heißt ein source-port nicht automatisch, daß die normalerweise zugeordnete Applikation dieses Paket erstellt und verschickt hat (es muß also kein eMule Client aus einem kompletten Subnet gewesen sein).
Im anderen Fall (DROP) kommt keine Antwort. Die Verbindungsanfragen werden wiederholt. Erfolglos. Irgendwann gibt es einen Timeout. Die Zeit des Anfragenden wurde verschwendet, der Traffic erhöht.
Im Fall von Torsten E. waren es diverse Filesharing-Programme die eine Ver- bindung mit dem Vorbesitzer seiner IP-Adresse wünschten. Nenne mir einen guten Grund warum man hier nicht mit REJECT antworten sollte.
Naja, mit run 75 minütiger Verzögerung lohnt der Gang zur Videothek, Musikothek, whatever ...
Ein REJECT würde in seinem Fall sogar die Verbindungsanfragen reduzieren.
Liegt wahrscheinlich daran das ich den Text unter der o.g. Adresse nicht vollständig verstehe.
Ich finde ihn leicht verständlich.
Dem "Normalanwender" werden ggf. wohl die Erläuterungen in /etc/sysconfig/SuSEfirewall2 verständlich vorkommen: # 26.) # Do you want to REJECT packets instead of DROPing? # # DROPing (which is the default) will make portscans and attacks much # slower, as no replies to the packets will be sent. REJECTing means, that # for every illegal packet, a connection reject packet is sent to the # sender. # # Choice: "yes" or "no", if not set defaults to "no" # FW_REJECT="no" Warum sollte SuSE dem "Normalanwender" zu einem, je nach Standpunkt/Ansicht, "asozialem Verhalten" raten?
Vielleicht könntest Du ja das noch mal mit eigenen Worten erklären, man möchte sich schließlich nicht asozial verhalten, oder gar Leute schädigen...nur weil man Dropt.
Hab's oben versucht.
Micha
P.s. : Auch wenn ich der Meinung bin das es zu einer Sachlichen Diskussion nicht notwendig ist seine Personalien auszutauschen, möchte ich darauf hinweisen das mein vollständiger Name aus der emailadresse hervor geht ...
Helga schickt regelmässig einen Hinweis auf die Etikette in dieser Liste. http://lists.suse.com/archive/suse-linux/2004-Sep/0675.html
Gruß, Jürgen
Torsten