= Сообщение: 2033 из 8555 ========================================= RU.LINUX = От : Valentin Davydov 2:5020/400 30 Mar 15 15:12:28 Кому : Alexey Vissarionov 30 Mar 15 15:12:28 Тема : Re: Вопрос по iptables FGHI : area://RU.LINUX?msgid=<1187500472@ddt.demos.su>+519b7570 На : area://RU.LINUX?msgid=2:5020/545+5518122f = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Valentin Davydov <sp@m.davydov.spb.su>
> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org> > Date: Sun, 29 Mar 2015 17:45:00 +0300 > > >>>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \ > >>>> -m state --state NEW -j REJECT --reject-with tcp-reset > >>>> Обрати внимание: именно reject и именно tcp-reset. > VD>>> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить > VD>>> в discard tcp service). Hечего сеть его syncами и твоими rstами > VD>>> засорять. > AV>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер. > AK> Так, для размышления: > AK> http://www.psychologies.ru/self-knowledge/behavior/_article/ > AK> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/ > >Там, скорее, не парабола, а функция, обратная кривой гамма-распределения >(http://pics.rsh.ru/img/gamma_distribution_offpqrf4.png). > >Hо все остальное таки да, вполне правдоподобно... > >Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил пункт >техзадания, в котором сказано, что запрет относится к клиенту (сущности >дружественной),
Ежели б клиент был сущностью друженственной, то можно было бы запретить 25-й tcp порт прямо на клиенте и не заморачиваться с сабжем. Впрочем, топикстартер ничего не сказал про то, зачем именно ему нужно закрыть 25-й порт, так что тут каждый делает свои предположения.
>и предложил -j TARPIT
А вот тарпит я как раз и предложил (по ламерству обозвав его discardом).
Вал. Дав.
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)
.){kind=link}