Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Otras tecnologías Windows/Linux Diferencia entre RECHAZAR y RECHAZAR
Vista: 11350|Respuesta: 0

[Linux] Diferencia entre RECHAZAR y RECHAZAR

[Copiar enlace]
Publicado en 2/2/2016 10:33:58 | | |

Existen dos tipos de acciones de política en el cortafuegos: DROP y REJECT, y las diferencias son las siguientes:
1. La acción DROP consiste simplemente en descartar directamente los datos sin retroalimentación alguna. Si el cliente espera el tiempo límite, puede encontrarse fácilmente bloqueado por el cortafuegos.
2. La acción REJECT devolverá un paquete de rechazar (terminado) (TCP-FIN o UDP-ICMP-PORT-UNREACHABLE) de forma más educada y rechazará explícitamente la acción de conexión de la otra parte. La conexión se desconecta inmediatamente y el cliente piensa que el host accedido no existe. REJECT tiene algunos parámetros de retorno en IPTABLES, como ICMP port-unreachable, ICMP echo-reply o tcp-reset (este paquete pedirá a la otra parte que apague la conexión).

No hay una conclusión concluyente sobre si es apropiado usar DROP o REJECT, ya que ambos son aplicables. REJECT es un tipo más flexible
y más fácil de diagnosticar y depurar problemas de red/cortafuegos en un entorno de red controlado; Y DROP proporciona
Mayor seguridad en el cortafuegos y ligeras mejoras de eficiencia, pero posiblemente debido a la gestión no estandarizada (no muy conforme a la especificación de conexión TCP) de DROP
Puede causar problemas inesperados o difíciles de diagnosticar en tu red. Porque aunque DROP interrumpe unilateralmente la conexión, no vuelve a la oficina
Por lo tanto, el cliente de conexión esperará pasivamente hasta que la sesión TCP expire para determinar si la conexión es exitosa, con el fin de avanzar la red interna de la empresa
Algunos programas o aplicaciones cliente requieren soporte para protocolos IDENT (puerto TCP 113, RFC 1413) si lo impides
Si el cortafuegos aplica la regla DROP sin previo aviso, todas las conexiones similares fallarán y será difícil determinar si se debe al timeout
El problema se debe al cortafuegos o a la falla del dispositivo de red/línea.

Un poco de experiencia personal: al desplegar un cortafuegos para una empresa interna (o una red parcialmente confiable), es mejor usar un REJECT más caballeroso
lo mismo ocurre con redes que necesitan cambiar o depurar reglas con frecuencia; Para cortafuegos para Internet/extranets peligrosos,
Es necesario usar un método de DROP más brutal pero seguro, que puede ralentizar en cierta medida el progreso (y al menos la dificultad, DROP) del ataque de hackeo
puede hacer que el escaneo de puertos TCP-Connect sea más largo).




Anterior:Caso de ataque DOS basado en el puerto UDP 80
Próximo:El método C# Process.Start() se explica en detalle

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com