= Сообщение: 2025 из 8555 ========================================= RU.LINUX = От : Valentin Davydov 2:5020/400 27 Mar 15 21:51:28 Кому : Alexey Vissarionov 27 Mar 15 21:51:28 Тема : Re: Вопрос по iptables FGHI : area://RU.LINUX?msgid=<1187500442@ddt.demos.su>+0985dc58 На : area://RU.LINUX?msgid=2:5020/545+5515276f = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Valentin Davydov <sp@m.davydov.spb.su>
> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org> > Date: Fri, 27 Mar 2015 12:34:56 +0300 > > >> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \ > >> -m state --state NEW -j REJECT --reject-with tcp-reset > >> Обрати внимание: именно reject и именно tcp-reset. > VD> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить > VD> в discard tcp service). Hечего сеть его syncами и твоими rstами > VD> засорять. > >Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.
Hу так объясни. Вот в локалке завёлся вирус, он ищет открытые релеи. Послал tcp syn на случайный адрес 25-й порт, через миллисекунду получил rst, тут же пошёл на следующий адрес. Итого 1000 пакетов в секунду. А теперь возьмём дроп вместо rst: послав syn, вирус ждёт ответа, причём не миллисекунды, а секунды (типична ситуация, когда сервер с той стороны, к примеру, резолвит что-то в dns прежде, чем принять соединение, так что сильно быстрее не получится). Итого трафик на три порядка меньше. Где я ошибаюсь?