Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Windows/Linux Perbedaan antara DROP dan REJECT
Melihat: 11350|Jawab: 0

[linux] Perbedaan antara DROP dan REJECT

[Salin tautan]
Diposting pada 02/02/2016 10.33.58 | | |

Ada dua jenis tindakan kebijakan di firewall: DROP dan REJECT, dan perbedaannya adalah sebagai berikut:
1. Tindakan DROP hanya membuang data secara langsung tanpa umpan balik apa pun tanggapan. Jika klien menunggu batas waktu, klien dapat dengan mudah menemukan dirinya diblokir oleh firewall.
2. Tindakan REJECT akan mengembalikan paket reject (terminated) (TCP FIN atau UDP-ICMP-PORT-UNREACHABLE) dengan lebih sopan, dan secara eksplisit menolak tindakan koneksi pihak lain. Koneksi segera terputus, dan klien berpikir host yang diakses tidak ada. REJECT memiliki beberapa parameter pengembalian di IPTABLES, seperti ICMP port-unreachable, ICMP echo-reply atau tcp-reset (paket ini akan meminta pihak lain untuk mematikan koneksi).

Tidak ada konklusif apakah tepat untuk menggunakan DROP atau REJECT, karena keduanya memang berlaku. REJECT adalah jenis yang lebih sesuai
dan lebih mudah untuk mendiagnosis dan men-debug masalah jaringan/firewall di lingkungan jaringan yang terkontrol; Dan DROP menyediakan
Keamanan firewall yang lebih tinggi dan sedikit keuntungan efisiensi, tetapi mungkin karena penanganan DROP yang tidak standar (tidak terlalu sesuai dengan spesifikasi koneksi TCP)
Ini dapat menyebabkan beberapa masalah yang tidak terduga atau sulit didiagnosis dengan jaringan Anda. Karena meskipun DROP secara sepihak mengganggu koneksi, ia tidak kembali ke kantor
Oleh karena itu, klien koneksi akan secara pasif menunggu hingga waktu sesi TCP habis untuk menentukan apakah koneksi berhasil, untuk memajukan jaringan internal perusahaan
Beberapa program atau aplikasi klien memerlukan dukungan protokol IDENT (TCP Port 113, RFC 1413) jika Anda mencegahnya
Jika firewall menerapkan aturan DROP tanpa pemberitahuan, semua koneksi serupa akan gagal, dan akan sulit untuk menentukan apakah itu karena batas waktu
Masalahnya disebabkan oleh firewall atau kegagalan perangkat/saluran jaringan.

Sedikit pengalaman pribadi, saat menerapkan firewall untuk perusahaan internal (atau jaringan yang tepercaya sebagian), lebih baik menggunakan REJECT yang lebih sopan
metode, hal yang sama berlaku untuk jaringan yang perlu sering mengubah atau men-debug aturan; Untuk firewall untuk Internet/ekstranet berbahaya,
Penting untuk menggunakan metode DROP yang lebih brutal namun aman, yang dapat memperlambat kemajuan (dan kesulitan, setidaknya, DROP) serangan peretasan sampai batas tertentu
dapat membuat mereka pemindaian port TCP-Connect lebih lama).




Mantan:Kasus serangan DOS berdasarkan port UDP 80
Depan:Metode C# Process.Start() dijelaskan secara rinci

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com