separar subredes usando iptables
Miguel Angel Amador L
jokercl en gmail.com
Mie Oct 26 15:20:51 CLST 2005
On 10/26/05, Juan Carlos Muñoz Ilabaca <jcmunoz en dcc.uchile.cl> wrote:
> Disque el Miércoles, 26 de Octubre de 2005 13:02, Jens Hardings escribiosese:
> > luisviveropenna en cdsl.cl wrote:
> > >>Miguel Angel Amador L <jokercl en gmail.com> wrote:
> > >>
> > >>[...]
> > >>
> > >>>MMMMmmm....
> > >>> Iptables ?
> > >>># Regla por defecto para forward
> > >>>iptables -P FORWARD DROP
> > >>
> > >>NOOOO!!! REJECT, /nunca/ DROP!
> > >
> > >Y eso seria por...? (o sea, que avise, ok, pero cual es la ganancia?)
> >
> > Porque si intenta conectarse pero "no pasa nada" al perderse los paquetes:
> > 1. reintentará durante varios minutos
> > 2. buscará ayuda técnica para resolver el problema
> > 3. se perderán muchas HH buscando el problema, para finalmente
> > encontrarse que era un tema de políticas de las cuales ya todos se
> > habían olvidado
> >
> > En caso de avisar, el ususario recibirá un aviso instantáneamente que
> > falló la conexión, y al revisar en mayor profundidad será obvio el
> > problema. No es posible confundir eso con "problemas en la red".
> Pero eso sería solo para el caso del FW, porque para el exterior, es mejor que
> no diga nada... así los scanners no sabrán que esta abierto y que tiene
> problemas.
No se entiende eso de firewall y para exterior... hay scanneres para
todo, y un buen scanner no depende de si tu firewall dice drop o
reject...
>
> Atte. JCMI
> [ ... _acorta tu firma_...]]
--
Miguel Angel Amador L.
[ jokercl at gmail dot com | User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]
Más información sobre la lista de distribución Linux