Hallo Thomas... On 13.03.2002 11:21:12 thomas.mayr@mcpsound.at wrote: <snip>
IMHO wird bei DENY das Paket abgewiesen und der anfragende Host erhält eine Fehlermeldung bzw. eine Meldung, daß die Verbindung abgelehnt wurde. Bei DROP wird das IP-Paket einfach verworfen und der Host wartet, wenn er nicht gestorben ist, noch heute auf ein Feedback. Ist ganz nett aus Sicherheitsgründen DROP zu verwenden, da der Host dann nicht sieht, ob der Port überhaupt offen ist, da er ja keine Antwort bekommt. Allerdings kann es sein, daß dann die Verbindung den Port blockiert, aber da bin ich nicht so fit drin. </snip> Vielen Dank, das bestaetigt meine Vermutung. Nur dass DENY von ipchains auch das Paket einfach loescht ohne Rueckmeldung an den Server - laut dem Buch "linux firewalls" das leider noch mit ipchains alles beschreibt. Falls Du das Geld investieren möchtest: "Das Firewall Buch" von SuSE Press beschreibt die Konfigurationen mit iptables...
Vielen Dank aber nochmal! No prop
Ciao Thomas