Hat jemand schonmal QUEUE und/oder RETURN Regeln damit erstellt?

Und was erzeugt mehr Traffic eine RETURN rule oder
eine DROP rule oder ein REJECT with-... ?


Ich moechte eigentlich nur meinen Webserver schadfrei halten.

Die Reaktion (und somit der Traffic) selbst ist beim DROP am geringsten, da keine Antwort gesendet wird.
Wenn du aber davon ausgehst, dass der anfragende Client wegen einer noch ausstehenden Antwort von deinem Server abwartet und den Request nach einer gewissen Zeit nochmals sellt und dann nochmals etc. bis tatsächlich vom Client angenommen wird, dass dein Server "nicht da ist", hast du im Endeffekt wahrscheinlich mehr Traffic als durch ein REJECT, wo nur ein ICMP-Packet verschickt wird.

Thomas.

Vielen Dank erstmal.
Da ich sehr undankbare Clients habe werde ich wohl auf REJECT umsteigen.
Habe auch schon ueberlegt den httpd randommäßig rauf und runter
zufahren.

btw: Was "sieht" der Client eigentlich bei RETURN?

Er "sieht" das was du bei ---reject-with angibst, Optionen sind:

icmp-net-unreachable
icmp-host-unreach-able
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited


Standardmäßig wird port-unreachable übermittelt.

Stimmt steht ja in der manpage. Das war wiedermal nicht mein hellster Moment.

*grummel*@me vs. Dank Dir!

bei return kommt es darauf an, wo die rule steht

steht sie in einer main chain, wird die default policies angewandt (i.d.R. drop - also nix versendet)

steht sie in einer subchain, stoppt das paket das durchlaufen dieser und kehr in die übere chain zurück und läuft dort danach weiter, wo es in die subchain abgetaucht ist

greez