On 23 Feb 2001 13:49:17 +0200, Cristian Grigoriu wrote:
>
> Da-mi voie sa ma apar: Rusty spune ca packet filtering din Linux se
> bazeaza pe un *port* din BSD iar o portare nu schimba niciodata
> "business logic".
Pai n-a zis nimeni ca schimba logica. Doar ca lui Rusty nu i-a placut
faza cu "ultima regula decide" si-a zis ca ia hai s-o taie de la
portzie, ce mushkii lui...
Inclin sa cred ca are dreptate.
> Daca ne intoarcem la portul 113, prietenul nostru avea policy DENY
> si reguli explicite de ACCEPT. Asa ca orice pachet venit pe portul
> 113 ar fi fost dropped fara a notifica sender-ul. Adica exact ce s-ar
> intimpla daca nu ruleaza ident. Din cite imi amintesc, ident returneaza
> o variabila numita parca REMOTE_IDENT si valoarea ei in caz de
> interogare esuata este "unknown" indiferent de cauza esecului (time-out
> sau reject) asa ca IMHO nu cred ca are importanta "nuanta".
Din cauza de timpi de asteptare excesivi, eu pun *intotdeauna* REJECT pe
ident (atunci cind, desigur, nu folosesc ident). Sint 99,999% sigur ca
nu exista argument rational care sa arate ca asta e rau pentru
securitate.
De fapt, ca s-o zic pe-a dreapta, eu cam pun REJECT peste tot daca
securitatea nu e chiar asa astronomic de importanta. Ajuta la viteza...
;-)
--
Florin "speed freak" Andrei
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
