|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Nikolay Popov 2:468/225.133 05 Aug 2002 22:22:34
To : Sergey V. Leschenko
Subject : firewall is not so good ...
--------------------------------------------------------------------------------
Sun Aug 04 2002 10:13, you wrote to me:
NP> >> NP>> ipchains -A input -i eth2 -t tcp -d xxx.xxx.xxx.xxx 137:139
NP> >> NP>> -j DENY все хорошо, но nmap говорит, что эти порты
NP> >> NP>> `filtered'
NP>> Че-то я не понимаю разницы - есть правило DENY (REJECT) - какая
NP>> нмапу разница, ведь во всех случаях для отдельно взятого порта оно
NP>> одно и тоже,
SL> не совсем:
SL> -j REJECT --reject-with icmp-port-unreachable
SL> (я не знаю, что возвращает REJECT по умолчанию и у меня iptables)
SL> то есть в ответ на попытку соединения уходит icmp-пакет
NP>> в не зависимости от default policy. И вообще, разве из того факта
NP>> что пакет ушел и не вернулся следует, что порт отфильтрован? Может,
NP>> его какой-то роутер по дороге дропнул по причине ttl expired или
NP>> еще чего-то там - но это проблемы не решает, мне нужно, чтобы
NP>> порта снаружи как-бы и не было.
SL> а роутер не возвращает icmp? (я не знаю)
Хмм.. Я у себя добавил в первую строку
-A input -i eth2 -t icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY
Пинговаться хост перестал, но ситуация не поменялась.
С уважением, Hиколай
... Powered by Slakware 7.0 Linux
--- GEDLNX 3.0.1
* Origin: Windows is a system, Neo... (2:468/225.133)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
