Reject oder Drop was sollte man nehmen? *sorry 4 doppelmail*

Ich betreibe momentan einen Router auf Debian basis.
Als Firewall nehme ich Iptables.
Sollte ich eingehende Packete auf unerwünschten Ports droppen oder
rejecten?
Was ist besser?
Ich kann die dienste nicht zumachen da sie local benötigt werden, ich
verwende die Firewall eigentlich nur
um ppp0 abzusichern.

hallo

[..]

Sollte ich eingehende Packete auf unerwünschten Ports droppen oder
rejecten?
Was ist besser?

kommt drauf an was du willst. das ist eher eine einstellungssache.
beim droppen werden pakete einfach stillschweigend geschluckt,
bei reject wird ein icmp-paket an den sender zurueckgeschickt, damit der
merkt dass an dem port nichts ist.

verwendet man drop, hat das zur folge, dass ein client der connecten
moechte bis zum timeout warten muss um zu merken, dass an dem port nichts
ist.
allerdings weiss man dann, dass der port gefirewallt ist, weil im
normalfall eben ein icmp-paket zurueckgeschickt wird.
ein angreifer koennte somit durch einen portscan schliessen dass an dem
port vielleicht ein service laeuft. er kann damit dann schon einen
verdacht haben zu welchem zweck die maschine im netz steht und hat einen
anhaltspunkt.

andererseits, bei einer syn-flood attacke muellt man sich die leitung auch
noch zusaetzlich zu, wenn fuer jedes flood-paket ein icmp-paket zurueck
geschickt wird.

peter