On 20 Sep 2004 at 11:55, Mathias Homann wrote:
Sodenn.
jetzt mal was zu drop vs. reject aus netzwerksicht... (die ganze sozial/asozial diskussion geht mir langsam auf den wecker).
bei DROP werden eingehende Pakete für gesperrte Ports ignoriert. Das wird oft vorgeschlagen, weil dann der Rechner im Netz "Unsichtbar" wäre. Das stimmt aber nur, wenn der betreffende Rechner 1. keinen einzigen Dienst anbietet und 2. auch ping pakete ignoriert.
bei reject werden eingehende pakete auf gesperrten ports mit einer "nein ich mag nicht" nachricht beantwortet. Intelligente Software sollte dann merken dass auf der adresse und dem port nix ist, und es nicht nochmal versuchen.
also noch mal kurz: sobald man auch nur einen einzigen dienst anbietet (einen offenen port auf dem was lauscht), oder auf ping antwortet, oder auch nur in der susefirewall die hohen ports freischaltet, ist DROP keine tarnung mehr.
Hallo Mathias, ich habe meine Firewall versucht mit iptables ... -j REJECT zu schreibe, was allerdings mit Fehler quittiert wird, daraufhin habe ich auch DROP eingesetzt. In der ManPage zu iptables finde ich auch kein REJECT. Irgendwelches Tips? Danke+Gruß Daniel