Hallo Thomas On 13.03.2002 10:44:55 thomas.mayr@mcpsound.at wrote:
Hallo Liste, Gehe ich richtig in der Annahme, dass DROP von iptables das gleiche ist bzw macht wie DENY von ipchains? IMHO wird bei DENY das Paket abgewiesen und der anfragende Host erhält eine Fehlermeldung bzw. eine Meldung, daß die Verbindung abgelehnt wurde. Bei DROP wird das IP-Paket einfach verworfen und der Host wartet, wenn er nicht gestorben ist, noch heute auf ein Feedback. Ist ganz nett aus Sicherheitsgründen DROP zu verwenden, da der Host dann nicht sieht, ob der Port überhaupt offen ist, da er ja keine Antwort bekommt. Allerdings kann es sein, daß dann die Verbindung den Port blockiert, aber da bin ich nicht so fit drin.
Grüße Thomas
Am Mittwoch 13 März 2002 11:13 schrieb Thomas_Kroener@mail.sva-germany.com:
Hallo Thomas
On 13.03.2002 10:44:55 thomas.mayr@mcpsound.at wrote:
Hallo Liste, Gehe ich richtig in der Annahme, dass DROP von iptables das gleiche ist
bzw
macht wie DENY von ipchains?
IMHO wird bei DENY das Paket abgewiesen und der anfragende Host erhält eine Fehlermeldung bzw. eine Meldung, daß die Verbindung abgelehnt wurde. Bei DROP wird das IP-Paket einfach verworfen und der Host wartet, wenn er nicht gestorben ist, noch heute auf ein Feedback. Ist ganz nett aus Sicherheitsgründen DROP zu verwenden, da der Host dann nicht sieht, ob der Port überhaupt offen ist, da er ja keine Antwort bekommt. Allerdings kann es sein, daß dann die Verbindung den Port blockiert, aber da bin ich nicht so fit drin.
Grüße Thomas
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi, Vielen Dank, das bestaetigt meine Vermutung. Nur dass DENY von ipchains auch das Paket einfach loescht ohne Rueckmeldung an den Server - laut dem Buch "linux firewalls" das leider noch mit ipchains alles beschreibt. Vielen Dank aber nochmal! mfg Thomas Mayr
On Wed, 13 Mar 2002 Thomas_Kroener@mail.sva-germany.com wrote:
IMHO wird bei DENY das Paket abgewiesen und der anfragende Host erhält eine Fehlermeldung bzw. eine Meldung, daß die Verbindung abgelehnt wurde. Bei DROP wird das IP-Paket einfach verworfen und der Host wartet, wenn er nicht gestorben ist, noch heute auf ein Feedback.
Nein, da verwechselst Du REJECT und DENY: DROP (iptables), DENY (ipchains): Paket einfach blocken REJECT (iptables und ipchains): Paket blocken und eine Fehlermeldung (ICMP) zurückschicken DENY wurde in ipchains einfach in DROP ("fallenlassen") umbenannt, weil das den Unterschied zu REJECT ("zurückweisen") klarer macht.
Ist ganz nett aus Sicherheitsgründen DROP zu verwenden, da der Host dann nicht sieht, ob der Port überhaupt offen ist, da er ja keine Antwort bekommt. Allerdings kann es sein, daß dann die Verbindung den Port blockiert, aber da bin ich nicht so fit drin.
Nein, da wird nichts blockiert - der Absender wartet einfach bis zum Timeout (eventuell nach mehreren Versuchen). Martin
participants (3)
-
Martin Köhling
-
Thomas
-
Thomas_Kroener@mail.sva-germany.com