Редактирование: UNИX, весна 2009, 03 лекция (от 11 марта)
Материал из eSyr's wiki.
Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы.
ПРЕДУПРЕЖДЕНИЕ: Длина этой страницы составляет 43 килобайт. Страницы, размер которых приближается к 32 КБ или превышает это значение, могут неверно отображаться в некоторых браузерах. Пожалуйста, рассмотрите вариант разбиения страницы на меньшие части.
Правка может быть отменена. Пожалуйста, просмотрите сравнение версий, чтобы убедиться, что это именно те изменения, которые вас интересуют, и нажмите «Записать страницу», чтобы изменения вступили в силу.
Текущая версия | Ваш текст | ||
Строка 37: | Строка 37: | ||
Про условие поговорим чуть позже, а пока посмотрим на два других правила, drop и reject: | Про условие поговорим чуть позже, а пока посмотрим на два других правила, drop и reject: | ||
- | Что касается drop, то пакет просто исчезает, вот пришёл он и исчез. Чем это плохо: если мы честные люди, то если мы не хотим, чтобы он был доставлен, то надо отвечать по icmp какое-то умное слово, например, host unreachable. И если пользователь будет ломиться к нам, особенно по udp, где нета обратной связи, то он даже не узнает, дошли пакеты или не дошли. | + | Что касается drop, то пакет просто исчезает, вот пришёл он и исчез. Чем это плохо: если мы честные люди, то если мы не хотим, чтобы он был доставлен,Э то надо отвечать по icmp какое-то умное слово, например, host unreachable. И если пользователь будет ломиться к нам, особенно по udp, где нета обратной связи, то он даже не узнает, дошли пакеты или не дошли. |
- | В случае reject будет сгенерирован icmp-пакет host unreachable. ( Внимание, reject (Deprecated). Synonym for unreach host, поэтому лучше не использовать reject, а использовать unreach host). Чем то правило плохо: если вы защищаетесь от flood-атак, то ответов | + | В случае reject будет сгенерирован icmp-пакет host unreachable. ( Внимание, reject (Deprecated). Synonym for unreach host, поэтому лучше не использовать reject, а использовать unreach host). Чем то правило плохо: если вы защищаетесь от flood-атак, то ответов флудер слать не надо. |
Относительно fwd: fwd <куда>. При этом пакет не меняется, и действует на выходе, указывая в сопроводительной информации, куда должен быть отправлен пакет. Если машина не настроена на получение пакетов для чужих ip, то она его просто выбросит. Зачем это нужно: например, на той машине висит демон, который все пакеты принимает и журнализирует. | Относительно fwd: fwd <куда>. При этом пакет не меняется, и действует на выходе, указывая в сопроводительной информации, куда должен быть отправлен пакет. Если машина не настроена на получение пакетов для чужих ip, то она его просто выбросит. Зачем это нужно: например, на той машине висит демон, который все пакеты принимает и журнализирует. |