Hello again :) hm, I'm wondering, about the following situation:
iptables -A INPUT -j DROP -p tcp --syn -m state --state INVALID iptables -A INPUT -j DROP -p tcp --tcp-flags ALL RST -m state --state INVALID iptables -A INPUT -j DROP -p tcp -m state --state INVALID iptables -A INPUT -j DROP -p tcp --syn iptables -A INPUT -j DROP -p tcp --tcp-flags ALL RST iptables -A INPUT -j DROP -p tcp Within this constellation, I noticed, ACK Packets for nonexistent TCP connections (formerly known as ACK flood or DoS attack) are dropped by the last rule. Is this true, and if it is: Why is this? Shouldn't TCP ACK Packets for nonexisting TCP connections have state INVALID, since ACK can never establish a TCP connection, but only SYN can? (SYN, SYN ACK, ACK: so both directions have to have sent a SYN set packet before there is any valid state) regards, Mario -- Um mit einem Mann gluecklich zu werden, muss man ihn sehr gut verstehen und ihn ein bisschen lieben. Um mit einer Frau gluecklich zu werden, muss man sie sehr lieben und darf erst gar nicht versuchen, sie zu verstehen.
