On Wednesday 21 November 2001 07:56 am, Ingvarr Zhmakin wrote: > > 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен, > чем DROP? С одной стороны -- похоже, но не может ли на одних > режектах набежать трафика при должном подходе со стороны > злоумышленников?
Значит так. Честные люди, которые хотят придерживаться RFC должны использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется подобающий ICMP. Проблем с этим две ( основных ). Во-первых такая система сразу говорит сканирующему что порт закрыт и можно сканировать дальше, тогда как DROP ничего не говорит и гаду-со-сканнером надо каждый раз ждать timeout. Во-вторых, гипотетически путем IP spoofing твою систему можно использовать как агент для ICMP флуда других систем. > > 2) Есть ли разница между: > -j DNAT --to-destination <local_ip>:<port> > и > -j REDIRECT --to-port <port> > В первом случае, переводится и порт и адрес, во втором только порт. Т.е. если надо перебросить трафик на внутренний сервер используется DNAT если на другой порт этой же системы то REDIRECT. > 3) Есть ли разница между: > PORTS="21 53 80" > for P in $PORTS ; do > iptables <...> --dport $P <...> > done > и > iptables <...> --dport 21,53,80 <...> > При первом варианте ты получаешь 3 правила а при втором одно. > > Об авторизации. > > 4) Courier-IMAP может авторизоваться через PAM (проще всего, вроде бы) > или cram-md5. > Правильно ли я понимаю, что даже если системные пароли под md5, при > PAM-авторизации непосредственно через сеть они будут пересылаться в > виде plain-text? Если я правильно понимаю, IMAP делает какой-то hash из пароля, типа как APOP, так что ето не совсем plain text впрочем это и не encryption. > > 5) При работе courier-imap через ssl авторизация будет шифроваться? В этом вся феня :) > > 6) Насколько опасно пользование sqwebmail? Будем считать, что > непосредственно на машине, с которой происходит работа, пароли в > броузере никто не сканирует. Без понятия.
