On 2003.03.27 at 20:11:00 +0200, sixthfish wrote: > Здравствуйте, Bogdan. > > Вы писали 27 марта 2003 г., 18:45:52: > > B> Закрыть login.icq.com > B> Да и вообще, из udp можно оставить толко пакеты идущие с/на 53 > B> порт dns-сервера > > ICQ уже тысячу лет, как работает по TCP. Закрывать > нужно 5190 порт (tcp). Закрывать login.icq.com особого > смысла нет. Т.к. это пул адресов -- у них прямой dns не > равен обратному. Прямой -- всегда login.icq.com, а > обратные имена всегда разные. Посему, что именно будет > отфильтровывать iptables -- трудно сказать. М.б. адрес, > который проресолвит на момент добавления правила в > таблицу (не уверен). > > Есть еще мнение, что login.icq.com хосты слушают чуть > ли не все 64K портов :)
Именно поэтому их и надо закрывать. Только не тупо, указанием DNS-имени в командной строке iptables, а отрезолвив его посредством host или nslookup, и закрыв все найденные адреса. Причем, вероятно, на уровне сетей класса C.
