DROPとREJECTの違い

管理者 · 掲載地 2016/02/02 10:33:58

ファイアウォールにはDROPとREJECTの2種類のポリシーアクションがあり、その違いは以下の通りです。
1. DROPアクションは、フィードバックなしにデータを直接破棄することを意味します。クライアントがタイムアウトを待つと、ファイアウォールによって簡単にブロックされる可能性があります。
2. REJECTアクションは、reject(終了)パケット(TCP FINまたはUDP-ICMP-PORT-UNREACHABLE)をより丁寧に返し、相手方の接続アクションを明示的に拒否します。接続は即座に切断され、クライアントはアクセスされたホストが存在しないと思い込みます。 REJECTにはIPTABLESにいくつかのリターンパラメータがあり、例えばICMPポート到達不可、ICMPエコーリreply、TCPリセット(このパケットは相手方に接続を切断するよう求める)。

DROPとREJECTのどちらを使うべきかは決定的ではありませんが、どちらも確かに適用可能です。 REJECTはより従順なタイプです
そして、制御されたネットワーク環境下でのネットワーク/ファイアウォール問題の診断やデバッグが容易であること、そしてDROPは提供します
ファイアウォールのセキュリティ向上とわずかな効率向上はありますが、これはDROPの非標準化(TCP接続仕様にあまり準拠していない)処理が原因かもしれません
これにより、予期せぬ、または診断が難しいネットワークの問題を引き起こすことがあります。なぜなら、DROPは一方的に接続を中断しても、オフィスに戻ることはありません
したがって、接続クライアントはTCPセッションがタイムアウトするまで受動的に待って、接続が成功したかどうかを確認し、企業の内部ネットワークを前進させます
一部のクライアントプログラムやアプリケーションは、禁止した場合にIDENTプロトコルのサポート(TCPポート113、RFC 1413)を必要とします
ファイアウォールが予告なしにDROPルールを適用すると、同様の接続はすべて失敗し、タイムアウトが原因かどうか判断が難しくなります
問題はファイアウォールかネットワーク機器/回線の故障によるものです。

個人的な経験ですが、内部企業(または部分的に信頼されているネットワーク)向けにファイアウォールを導入する際は、より紳士的なREJECTを使う方が良いです
同様に、頻繁にルールを変更したりデバッグしたりする必要があるネットワークにも当てはまります。危険なインターネットやエクストラネット用のファイアウォールについては、
より残酷だが安全なDROP方法を使う必要があり、これによりハッキング攻撃の進行(および少なくともDROPの難易度)をある程度遅らせることができます
TCP-Connectポートスキャンを長くすることができます。

[Linux] DROPとREJECTの違い

関連記事