Ricardo Frydman Eureka! <[EMAIL PROTECTED]> wrote:
> Horst von Brand wrote:
> > Miguel Angel Amador L <[EMAIL PROTECTED]> wrote:
> > [...]
> >>MMMMmmm....
> >> Iptables ?
> >># Regla por defecto para forward
> >>iptables -P FORWARD DROP
> > NOOOO!!! REJECT, /nunca/ DROP!
> porque?
DROP simplemente deja caer el paquete al suelo sin mas tramite, la
contraparte queda preguntandose que paso, probablemente reintentando, y
finalmente se va de timeout al /largo/ rato despues; REJECT (en sus
distintas formas) le indica directamente a la contraparte que no esta
permitido ese trafico.
DROP es para situaciones de extrema emergencia solamente, no para uso
rutinario.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Wed Oct 26 14:13:14 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Wed Oct 26 14:11:06 2005
Subject: separar subredes usando iptables
In-Reply-To: Your message of "Wed, 26 Oct 2005 11:18:13 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Juan Carlos Muñoz Ilabaca <[EMAIL PROTECTED]> wrote:
> Disque el Miércoles 26 Octubre 2005 00:17, Horst von Brand escribiosese:
> > Miguel Angel Amador L <[EMAIL PROTECTED]> wrote:
> >
> > [...]
> >
> > > MMMMmmm....
> > > Iptables ?
> > > # Regla por defecto para forward
> > > iptables -P FORWARD DROP
> >
> > NOOOO!!! REJECT, /nunca/ DROP!
> Disculpando mi ignorancia, no se supone que un drop simplemente bota el
> paquete y un reject genera un paquete igmp
ICMP
> responde que ese puerto está
> cerrado??? para un posible ataque que es mejor???
Al atacante le da exactamente lo mismo; a un usuario legitimo (pero algo
descarrilado) obviamente es mejor decirle cortesmente que anda un poquito
perdido tratando de conectarse al servidor de correo via FTP.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Wed Oct 26 14:26:46 2005
From: [EMAIL PROTECTED] (Juan Carlos =?iso-8859-1?q?Mu=F1oz_Ilabaca?=)
Date: Wed Oct 26 14:24:39 2005
Subject: separar subredes usando iptables
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Disque el Miércoles, 26 de Octubre de 2005 13:02, Jens Hardings escribiosese:
> [EMAIL PROTECTED] wrote:
> >>Miguel Angel Amador L <[EMAIL PROTECTED]> wrote:
> >>
> >>[...]
> >>
> >>>MMMMmmm....
> >>> Iptables ?
> >>># Regla por defecto para forward
> >>>iptables -P FORWARD DROP
> >>
> >>NOOOO!!! REJECT, /nunca/ DROP!
> >
> >Y eso seria por...? (o sea, que avise, ok, pero cual es la ganancia?)
>
> Porque si intenta conectarse pero "no pasa nada" al perderse los paquetes:
> 1. reintentará durante varios minutos
> 2. buscará ayuda técnica para resolver el problema
> 3. se perderán muchas HH buscando el problema, para finalmente
> encontrarse que era un tema de políticas de las cuales ya todos se
> habían olvidado
>
> En caso de avisar, el ususario recibirá un aviso instantáneamente que
> falló la conexión, y al revisar en mayor profundidad será obvio el
> problema. No es posible confundir eso con "problemas en la red".
Pero eso sería solo para el caso del FW, porque para el exterior, es mejor que
no diga nada... así los scanners no sabrán que esta abierto y que tiene
problemas.
Atte. JCMI
--
Fortune's Exercising Truths:
1: Richard Simmons gets paid to exercise like a lunatic. You don't.
2. Aerobic exercises stimulate and speed up the heart. So do heart attacks.
3. Exercising around small children can scar them emotionally for life.
4. Sweating like a pig and gasping for breath is not refreshing.
5. No matter what anyone tells you, isometric exercises cannot be done
quietly at your desk at work. People will suspect manic tendencies as
you twitter around in your chair.
6. Next to burying bones, the thing a dog enjoys mosts is tripping joggers.
7. Locking four people in a tiny, cement-walled room so they can run around
for an hour smashing a little rubber ball -- and each other -- with a hard
racket should immediately be recognized for what it is: a form of
insanity.
8. Fifty push-ups, followed by thirty sit-ups, followed by ten chin-ups,
followed by one throw-up.
9. Any activity that can't be done while smoking should be avoided.
