Hat jemand schonmal QUEUE und/oder RETURN Regeln damit erstellt?
Und was erzeugt mehr Traffic eine RETURN rule oder
eine DROP rule oder ein REJECT with-... ?
Ich moechte eigentlich nur meinen Webserver schadfrei halten.
Hat jemand schonmal QUEUE und/oder RETURN Regeln damit erstellt?
Und was erzeugt mehr Traffic eine RETURN rule oder
eine DROP rule oder ein REJECT with-... ?
Ich moechte eigentlich nur meinen Webserver schadfrei halten.
"Das Fernsehen, eben noch revolutionär auf der Bühne von 1989, war vom Täter zum Hirn geworden, zu einer einzigen Wahrheitsmaschine" (Rainald Goetz --word)
Die Reaktion (und somit der Traffic) selbst ist beim DROP am geringsten, da keine Antwort gesendet wird.
Wenn du aber davon ausgehst, dass der anfragende Client wegen einer noch ausstehenden Antwort von deinem Server abwartet und den Request nach einer gewissen Zeit nochmals sellt und dann nochmals etc. bis tatsächlich vom Client angenommen wird, dass dein Server "nicht da ist", hast du im Endeffekt wahrscheinlich mehr Traffic als durch ein REJECT, wo nur ein ICMP-Packet verschickt wird.
Thomas.
OSes: Gentoo | Debian (woody) | WinXP
The main failure in computers is usually between keyboard and chair.
Vielen Dank erstmal.
Da ich sehr undankbare Clients habe werde ich wohl auf REJECT umsteigen.
Habe auch schon ueberlegt den httpd randommäßig rauf und runter
zufahren.
btw: Was "sieht" der Client eigentlich bei RETURN?
"Das Fernsehen, eben noch revolutionär auf der Bühne von 1989, war vom Täter zum Hirn geworden, zu einer einzigen Wahrheitsmaschine" (Rainald Goetz --word)
Er "sieht" das was du bei ---reject-with angibst, Optionen sind:
icmp-net-unreachable
icmp-host-unreach-able
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
Standardmäßig wird port-unreachable übermittelt.
OSes: Gentoo | Debian (woody) | WinXP
The main failure in computers is usually between keyboard and chair.
Stimmt steht ja in der manpage. Das war wiedermal nicht mein hellster Moment.
*grummel*@me vs. Dank Dir!
"Das Fernsehen, eben noch revolutionär auf der Bühne von 1989, war vom Täter zum Hirn geworden, zu einer einzigen Wahrheitsmaschine" (Rainald Goetz --word)
bei return kommt es darauf an, wo die rule steht
steht sie in einer main chain, wird die default policies angewandt (i.d.R. drop - also nix versendet)
steht sie in einer subchain, stoppt das paket das durchlaufen dieser und kehr in die übere chain zurück und läuft dort danach weiter, wo es in die subchain abgetaucht ist
greez
Lesezeichen