On Wed, 26 Jan 2005 18:15:55 -0300, Satoru Lucas Shindoi
<[EMAIL PROTECTED]> wrote:
> El dia Wed, 26 Jan 2005 17:15:56 -0300
> Horst von Brand <[EMAIL PROTECTED]> escribio:
>
> > Miguel Amador L <[EMAIL PROTECTED]> dijo:
> >
> > [...]
> >
> > > DROP por defecto a FORWARD
> >
> > NUNCA usar DROP, solo REJECT!
>
> Hmm... cuestion de gustos.
> Se dice que es de mala educacion "dropear" paquetes.
> Pero para ciertas cosas lo suelo usar.
> Despues de todo.... "para hurgan en donde no les llaman?" :-D
De acuerdo...
>
> Ver portsentry, por ahi les interesa en vez de estar "dropeando" o
> "rejecteando" :-P
Y cual seria la ventaja ? que metodo ocupa que no sea hace un REJECT o un DROP ?
reject me devuelve un paquete diciendo conexion denegada y drop me
arroja el paquete a la basura, que otra opcion da portsentry ?
Saludos
Miguel Amador L.
> --
> Satoru Lucas Shindoi
> CEL: 03783-15666916
> ICQ: 95357247 - Jabber: [EMAIL PROTECTED]
> Messenger: [EMAIL PROTECTED] - Yahoo: [EMAIL PROTECTED]
> --------------------------------------------------------------------------
> GULCO - Grupo de Usuarios de GNU/Linux Corrientes - www.gulco.linux.org.ar
> Sistemas de Informacion - DPEC - www.dpec.com.ar
> LiNEA S.H. - Linux en el NEA Sociedad de Hecho - www.lineash.com.ar
> www.shindoi.com.ar
>
From [EMAIL PROTECTED] Wed Jan 26 19:09:26 2005
From: [EMAIL PROTECTED] (Miguel Amador L)
Date: Wed Jan 26 19:09:31 2005
Subject: iptables
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
On Wed, 26 Jan 2005 17:15:56 -0300, Horst von Brand
<[EMAIL PROTECTED]> wrote:
> Miguel Amador L <[EMAIL PROTECTED]> dijo:
>
> [...]
>
> > DROP por defecto a FORWARD
>
> NUNCA usar DROP, solo REJECT!
el _nunca_ es una cadena de iptables ? o estaba _gritando_ ?
Acepto no colocar un DROP a la cadena INPUT y si dejarla con REJECT
por defecto... pero a FORWARD ? en nada afecta a las conexiones si
las reglas estan bien configuradas.
( Por Ejemplo:
ACCEPT NEW, RELATED , ESTABLISHED para conexiones salientes, de la
Lan a Inet, FORWARD ACCEPT para los port-forward desde Inet a la DMZ,
y el resto de conexiones desde inet al fw con INPUT REJECT, creo que
asi no se viola ningun RFC y tengo el FORWARD en DROP)
Saludos
Miguel
> --
> Dr. Horst H. von Brand User #22616 counter.li.org
> Departamento de Informatica Fono: +56 32 654431
> Universidad Tecnica Federico Santa Maria +56 32 654239
> Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
>
From [EMAIL PROTECTED] Wed Jan 26 18:34:23 2005
From: [EMAIL PROTECTED] (Rodrigo Riveros A.)
Date: Wed Jan 26 19:12:05 2005
Subject: iptables
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
On Wednesday 26 January 2005 17:15, Horst von Brand wrote:
> NUNCA usar DROP, solo REJECT!
Por que? ...hay veces en que es mejor que el host simplemente "no se vea"...
el reject solo me dice "estoy aqui pero no puedes entrar". Además en
circunstancias extremas a veces se hace necesario "dropear" paquetes.
Saludos!
--
Rodrigo Riveros A.
Est.Ing. Ejecución Informática
U.T.F.S.M - Valparaíso - Chile
