hola, El jue, 07-12-2006 a las 08:49 -0300, Horst H. von Brand escribió: > Luis Sandoval <[EMAIL PROTECTED]> wrote: > > El mié, 06-12-2006 a las 16:08 -0300, Horst H. von Brand escribió: > > > Amables lectores: Cualquier script de cortafuegos que contenga DROP esta > > > mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente > > > erradas en la cabeza. > > > Porque esta mal? No lo encuentro malo :P > > Porque DROP hace que clientes que intentan acceder a un port se queden > colgados /largo/ rato esperando un timeout. No, "es que los malandrines se > veran afectados, no los clientes legitimos" es totalmente falso, los > malandrines /no/ esperan (ver herramientas como nmap y afines). Lo unico > que haces es sen~alarles que el administrador del cortafuegos no tiene > idea, lo que implica un cortafuegos probablemente lleno de hoyos y victimas > faciles y jugosas detras...
Haber, pero la diferencia entre DROP y REJECT es que DROP descarta el paquete sin dar ningun tipo de respuesta y REJECT lo descarta y envia un paquete ICMP de error (ademas en la doc dice que se puede elegir el msg de error), si? Si es asi aun no veo el problema de elegir cualquiera de los dos metodos, ya que a final de cuentas ambos estaran cumpliendo su cometido, donde DROP se ve mas HOSTIL, porque se bloquea el paquete, no se envia respuesta y se deja pagando al cliente hasta que cumpla el timeout y no veo que esto sea malo... ademas un "cliente legitimo" no va a conectar un puerto que este dropeado...asi que no los afectaria.. y los que pregunten por puertos dropeados es opcion del admin responderles o no? saludos, Luis
