On Fri, 12 Sep 2003 19:36:01 +0200 Michelle Konzack wrote: > On 2003-09-12 16:16:13, Andreas Kretschmer wrote: >>am Fri, dem 12.09.2003, um 15:48:10 +0200 mailte Michelle Konzack folgendes: >>> On 2003-09-10 11:44:14, Andre Frimberger wrote: >>> >>> zuerst hatt ich es mit 'deny' versucht. Dann sagte mir jemand von >> >>DROP ist insofern richtig, da� keine Antwort rausgeht. Es ist aber >>erstens kein Beitrag zur Sicherheit (siehe FAQ von Lutz D.) und asozial. >> >>> einer firwall liste das ich stattdessen 'reject' verwenden soll... >> >>Ein Reject schickt ja auch wieder was zur�ck->Traffic. Man k�nnte >>lat�rnich bei dem 135-Schei� dr�ber nachdenken, es doch zu DROPen, um >>Traffic zu sparen. > > Darum geht es mir... Ich will den Schrott nicht zur�cksenden.
Die Frage ist, ob man wirklich Traffic spart. Benutzt du REJECT, wird ein ICMP Paket zur�ckgeschickt und die Gegenseite wei�, dass auf dem entsprechenden Port keine Verbindungen angenommen werden. Bei DROP werden die meisten Anwendungen es ein paar mal mehr versuchen, weil es so aussieht, als ob das Paket irgendwo unterwegs verloren gegangen ist. Bei 4662 braucht man sich �brigens keine Sorgen zu machen, e-mule k�mmert sich einen Sch*** um ein "connection refused". Ich glaube mit dem 2.4er Kernel sollte es m�glich sein eine Art Zwischenl�sung zu bauen, indem man die Anzahl der ICMP Pakete pro Zeiteinheit limitiert (geht das vielleicht auch mit 2.2?). Falls jemand so was hat: bitte posten. Gru�, David
pgp00000.pgp
Description: PGP signature
