ABATAPA пишет: > 28 августа 2006 12:18, Sergei Boudnik написал: > >>Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP > > Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при > сканировании определить использующиеся порты, а во-вторых, при работе через > спутник может дать кое-кому хороший шанс... > use REJECT reject-with tcp-reset > ICMP пакеты - хорошее средство для DDoS-атак, да и попадание на трафике может получиться не малое. Поэтому политика (-P) REJECT в iptables не предусмотрена.
-- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: [EMAIL PROTECTED] _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
