On Wednesday 21 November 2001 09:12 am, Ingvarr Zhmakin wrote: > > > 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен, > > > чем DROP? С одной стороны -- похоже, но не может ли на одних > > > режектах набежать трафика при должном подходе со стороны > > > злоумышленников? > > > > Значит так. Честные люди, которые хотят придерживаться RFC должны > > использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется > > подобающий ICMP. > > А почему тогда policy REJECT не предусмотрено? :-] > // Я в курсе, что можно в хвост вставить соотв. правило. :-)
Потому, что ( я так думаю ) policy идет на все пакеты которые к тебе на интерфейс приходят, а слать ICMP ошибку положено только на TCP/UDP. Представь что твоя система посылает ICMP пакет в ответ на любой пришедшый пакет. Страшно? Вот то-то! :) > > > > > 2) Есть ли разница между: > > > -j DNAT --to-destination <local_ip>:<port> > > > и > > > -j REDIRECT --to-port <port> > > > > В первом случае, переводится и порт и адрес, во втором только порт. Т.е. > > если надо перебросить трафик на внутренний сервер используется DNAT > > если на другой порт этой же системы то REDIRECT. > > По man iptables тоже так выходит. > Но почему тогда во всех FM про transparent proxying via Squid приводят > второй вариант? Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и firewall оба на одной машине стоят. > > > > > 3) Есть ли разница между: > > > PORTS="21 53 80" > > > for P in $PORTS ; do > > > iptables <...> --dport $P <...> > > > done > > > и > > > iptables <...> --dport 21,53,80 <...> > > > > При первом варианте ты получаешь 3 правила а при втором одно. > > Это-то понятно. :-) > Разница по скорости или еще по чему-нибудь будет? > Например, если у меня в лог что-то пишется -- будет разница, если > пришло что-то на порт 123 в случаях, если есть правила: > a) запрещен порт 123 > b) запрещен порт 123,124,155:157 > ? > Если заглянуть ( только осторожно ) в сорс от iptables, то очевидно, что по скорости это одна фигня. С логами же дело в том, что ( если я правильно помню ) логи с iptables пишутся в зависимости от пакета а не от правила. Два одинаковых пакета оставят одинаковые записи в не зависимости от того какие правила их отфутболили. > > > > 5) При работе courier-imap через ssl авторизация будет шифроваться? > > > > В этом вся феня :) > > То есть разрешив только ssl, я могу забыть про дополнительную шифровку > авторизации? Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про восможность MITM атак. > > Ingvarr. > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED]
