teoria-deny-rst: (0.01)
	¿Podemos prohibir salidas de paquetes TCP RST hacia Internet? = NO


¿PORQUE?

    Se nos puede detectar, cuando intentamos ser invisibles, incluso si
    prohibimos la entrada de paquetes SYN con un escaneo Stealth "FIN",
    "Xmas Tree", o "Null" a puertos altos *SIN*	servicios


LA TEORIA

    En el RFC793 especifica que se envia un paquete RST en tres casos:
    
    1) Cuando el puerto que lo recibe no tiene servicio _este es el que nos
     delata_
    
    2) En un fallo de sincronización al recibir un paquete ACK (como si ya
     existiera la conexión) o al recibir un paquete ACK con ciertos valores
     que no se ajustan a los solicitados para la conexión
    
    3) En una conexión en estado sincronizado al recibir un paquete ACK con
     ciertos valores que no se ajustan a los solicitados para la conexión,
     y se pasa la conexión al estado CLOSED



POSIBILIDAD DE FILTRARLOS

    ipfwadm	NO
    
    ipchains	NO
    
    iptables	*POR PROBAR* Puede que con el control de conexión quede
		resuelto este tema



CONCLUSIONES

    Prohibir la salida de paquetes RST es una violación del protocolo TCP

    No veo la forma de filtrarlos con ipfwadm o ipchains... así que he
    estado perdiendo el tiempo ;-)

    No se me ocurre la forma de prohibir solo la salida de RST en el caso de
    que no haya conexión previa establecida

    No me parece correcto que todo el mundo en Internet prescinda del RST,
    seguro que hay efectos secundarios importantes

    Creo que los fallos que producen que se envie un RST se dan con poca
    frecuencia, y probablemente existe un TIMEOUT para todos los casos,
    ya que siempre tiene que preverse el caso de un "cuelgue" o apagón en
    el sistema con el que estamos conectados, así que _NO DEBERIA_ ser un
    problema muy grande (si se pudiera)