separar subredes usando iptables

[Juan Carlos Muñoz Ilabaca]

Disque el Miércoles, 26 de Octubre de 2005 17:48, Horst von Brand 
escribiosese:
>[...]
> Como si los gusanos se van a tomar la molestia de revisar si el port esta
> abierto antes de tirarse... y si esta cerrado, que importa decir
> cortesmente que esta cerrado en vez de no decir nada?
>
> Insisto, como medida de seguridad DROP no aporta /nada/, y es /activamente/
> contraproducente para usuarios legitimos.
>
> Igualito que la medida de "seguridad" de pichicatear los servidores para
> que no se delaten por el banner. Seguridad es nula (nmap es mas que capaz
> de descubrir igual de que se trata; y si es por eso, los atacantes suelen
> tirarse "por si pasa" en vez de complicarse la existencia de antemano; si
> no me creen, vean sus logs para miles de intentos fallidos de conexion via
> SSH con cuentas y password al azar). Se ven perjudicados unicamente quienes
> necesitan legitimamente saber de que se trata (porque el %*#@& MTA no
> acepta mis correos? que opciones maneja? tal vez es alguna de las &%$
> versiones aturdidas que...?).
>
> "Security through obscurity" isn't.

no se supone que un usuario legitimo no se va a conectar a algo que no se 
supone que se debe conectar??? por eso es legitimo, porque se esta conectando 
al servicio que corresponde como corresponde no???

yo creo que es solamente otra forma de pensar y no una imposición de algún 
tipo, yo por mi parte no estoy de acuerdo y creo que dependiendo de que me 
quiera proteger es la forma en la que voy a actuar, si tengo un servicio que 
se que me van a querer atacar, entonces lo dejo en drop y genero logs en el 
iptables, así se quien esta tratando de penetrar mis sistemas y si alguien 
legitimo que quiera entrar no puede, entonces avisará y se verificará cual es 
su problema con el log de conexión...

Atte. JCMI

PS: me parece que esta discusión paso a términos subjetivos, por lo que creo 
que no vale la pena seguirla.
-- 
Fortune's real live weird band names #319:

Harry Pussy