Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Altre tecnologie Windows/Linux Differenza tra DROP e REJECT
Vista: 11350|Risposta: 0

[Linux] Differenza tra DROP e REJECT

[Copiato link]
Pubblicato su 02/02/2016 10:33:58 | | |

Ci sono due tipi di azioni politiche nel firewall: DROP e REJECT, e le differenze sono le seguenti:
1. L'azione DROP consiste semplicemente nello scartare direttamente i dati senza alcun feedback. Se il client aspetta il timeout, può facilmente trovarsi bloccato dal firewall.
2. L'azione REJECT restituirà un pacchetto reject (terminated) (TCP, FIN o UDP-ICMP-PORT-UNREACHABLE) in modo più educato, e rifiuterà esplicitamente l'azione di connessione dell'altra parte. La connessione viene immediatamente disconnessa e il client pensa che l'host accessibile non esista. REJECT ha alcuni parametri di ritorno in IPTABLES, come ICMP port-unreachable, ICMP echo-reply o tcp-reset (questo pacchetto chiederà all'altra parte di disattivare la connessione).

Non è una certezza conclusiva se sia appropriato usare DROP o REJECT, poiché entrambi sono effettivamente applicabili. REJECT è un tipo più conforme
e più facile diagnosticare e risolvere problemi di rete/firewall in un ambiente di rete controllato; E DROP fornisce
Maggiore sicurezza del firewall e lievi guadagni di efficienza, ma probabilmente dovuto alla gestione non standardizzata (non molto conforme alle specifiche di connessione TCP) di DROP
Può causare problemi imprevisti o difficili da diagnosticare nella tua rete. Perché, sebbene DROP interrompa unilateralmente la connessione, non torna in ufficio
Pertanto, il client di connessione attenderà passivamente che la sessione TCP scada per determinare se la connessione è riuscita, così da far avanzare la rete interna dell'azienda
Alcuni programmi o applicazioni client richiedono il supporto al protocollo IDENT (TCP Porta 113, RFC 1413) se lo impedisci
Se il firewall applica la regola DROP senza preavviso, tutte le connessioni simili si guasteranno, e sarà difficile determinare se sia dovuto al timeout
Il problema è dovuto al firewall o al problema del dispositivo/linea di rete.

Un po' di esperienza personale: quando si implementa un firewall per un'azienda interna (o una rete parzialmente affidabile), è meglio usare un REJECT più gentile
lo stesso vale per le reti che devono modificare o fare debug regola frequentemente; Per firewall per Internet/extranet pericolose,
È necessario usare un metodo DROP più brutale ma sicuro, che può rallentare in parte il progresso (e almeno la difficoltà DROP) dell'attacco hacker
può renderle più lunghe nella scansione delle porte TCP-Connect).




Precedente:Caso di attacco DOS basato sulla porta UDP 80
Prossimo:Il metodo C# Process.Start() è spiegato in dettaglio

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com