Tento článek je zrcadlovým článkem o strojovém překladu, klikněte zde pro přechod na původní článek.

Architect_Programmer_Code Zemědělská síť»Architekt Další technologie Windows/Linux Rozdíl mezi DROP a REJECT
Pohled: 11350|Odpověď: 0

[linux] Rozdíl mezi DROP a REJECT

[Kopírovat odkaz]
Zveřejněno 02.02.2016 10:33:58 | | |

Ve firewallu existují dva typy politických akcí: DROP a REJECT, přičemž rozdíly jsou následující:
1. Akce DROP je jednoduše přímo zahozit data bez jakékoli zpětné vazby. Pokud klient čeká na časový limit, může být snadno zablokován firewallem.
2. Akce ODMÍTNOUT vrátí balíček odmítnout (ukončený) (TCP FIN nebo UDP-ICMP-PORT-UNREACHABLE) zdvořileji a explicitně odmítne akci připojení druhé strany. Připojení je okamžitě přerušeno a klient si myslí, že přístupný hostitel neexistuje. REJECT má v IPTABLES některé návratové parametry, například ICMP port-nedostupný, ICMP echo-reply nebo tcp-reset (tento paket požádá druhou stranu o ukončení spojení).

Není však jednoznačně řečeno, zda je vhodné používat DROP nebo REJECT, protože oba jsou skutečně použitelné. REJECT je více poslušný typ
a snadnější diagnostiku a ladění problémů se sítí/firewallem v kontrolovaném síťovém prostředí; A DROP poskytuje
Vyšší bezpečnost firewallu a mírné zvýšení efektivity, ale pravděpodobně kvůli nestandardizovanému (ne příliš kompatibilnímu s TCP specifikacím) zpracování DROPu
Může to způsobit nečekané nebo těžko diagnostikovatelné problémy s vaší sítí. Protože i když DROP jednostranně přeruší spojení, nevrací se do kanceláře
Proto klient připojení pasivně počká, až TCP relace vyprší, aby zjistil, zda je připojení úspěšné, a tak posunout interní síť podniku
Některé klientské programy nebo aplikace vyžadují podporu protokolu IDENT (TCP port 113, RFC 1413), pokud tomu zabráníte
Pokud firewall aplikuje pravidlo DROP bez upozornění, všechna podobná připojení selžou a bude těžké určit, zda je to kvůli timeoutu
Problém je způsoben firewallem nebo selháním síťového zařízení/linky.

Malá osobní zkušenost: při nasazování firewallu pro interní podnik (nebo částečně důvěryhodnou síť) je lepší použít více gentlemanský REJECT
metoda, totéž platí pro sítě, které musí pravidla často měnit nebo ladit; U firewallů pro nebezpečný internet/extranety,
Je nutné použít brutálnější, ale bezpečnější metodu DROP, která může do určité míry zpomalit postup (a alespoň obtížnost DROP) hackerského útoku
může prodloužit skenování portů přes TCP-Connect).




Předchozí:Případ útoku DOS založený na UDP portu 80
Další:Metoda C# Process.Start() je podrobně vysvětlena

Související příspěvky
Zřeknutí se:
Veškerý software, programovací materiály nebo články publikované organizací Code Farmer Network slouží pouze k učení a výzkumu; Výše uvedený obsah nesmí být používán pro komerční ani nelegální účely, jinak nesou všechny důsledky uživatelé. Informace na tomto webu pocházejí z internetu a spory o autorská práva s tímto webem nesouvisí. Musíte výše uvedený obsah ze svého počítače zcela smazat do 24 hodin od stažení. Pokud se vám program líbí, podporujte prosím originální software, kupte si registraci a získejte lepší skutečné služby. Pokud dojde k jakémukoli porušení, kontaktujte nás prosím e-mailem.
Mail To:help@itsvse.com