Levantando iptables para un usuario común
Luis Sandoval
zerox en systat.cl
Jue Dic 7 13:16:33 CLST 2006
hola,
El jue, 07-12-2006 a las 08:49 -0300, Horst H. von Brand escribió:
> Luis Sandoval <zerox en systat.cl> wrote:
> > El mié, 06-12-2006 a las 16:08 -0300, Horst H. von Brand escribió:
> > > Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
> > > mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
> > > erradas en la cabeza.
>
> > Porque esta mal? No lo encuentro malo :P
>
> Porque DROP hace que clientes que intentan acceder a un port se queden
> colgados /largo/ rato esperando un timeout. No, "es que los malandrines se
> veran afectados, no los clientes legitimos" es totalmente falso, los
> malandrines /no/ esperan (ver herramientas como nmap y afines). Lo unico
> que haces es sen~alarles que el administrador del cortafuegos no tiene
> idea, lo que implica un cortafuegos probablemente lleno de hoyos y victimas
> faciles y jugosas detras...
Haber, pero la diferencia entre DROP y REJECT es que DROP descarta el
paquete sin dar ningun tipo de respuesta y REJECT lo descarta y envia un
paquete ICMP de error (ademas en la doc dice que se puede elegir el msg
de error), si?
Si es asi aun no veo el problema de elegir cualquiera de los dos
metodos, ya que a final de cuentas ambos estaran cumpliendo su cometido,
donde DROP se ve mas HOSTIL, porque se bloquea el paquete, no se envia
respuesta y se deja pagando al cliente hasta que cumpla el timeout y no
veo que esto sea malo... ademas un "cliente legitimo" no va a
conectar un puerto que este dropeado...asi que no los afectaria.. y los
que pregunten por puertos dropeados es opcion del admin responderles o
no?
saludos,
Luis
Más información sobre la lista de distribución Linux