<div class="gmail_quote">2008/11/10 Sam Kuper <span dir="ltr"><<a href="mailto:sam.kuper@uclmail.net">sam.kuper@uclmail.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="gmail_quote"><div>By using REJECT instead of DROP, you have no stealth. This means you can be port-scanned to look for weaknesses, e.g. unpatched OpenSSH vulnerabilities, etc. </div>
</div></blockquote><div><br></div><div>That said, if SSH traffic is blocked, an OpenSSH vuln. might not be significant. If you're allowing and inbound traffic, though, any unpatched flaws in the app servicing that inbound traffic could expose your system to attack.</div>
<div><br></div></div>Also, by REJECTing rather than DROPping, you might be more vulnerable to DoS attacks.
<div><br></div><div>Consider using a default (LOG and) DROP policy instead. Michael Rash's site (<a href="http://www.cipherdyne.org">www.cipherdyne.org</a>) has some good resources for learning about this and implementing it.</div>