Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Citas tehnoloģijas Windows / Linux Atšķirība starp DROP un REJECT
Skats: 11350|Atbildi: 0

[Linux] Atšķirība starp DROP un REJECT

[Kopēt saiti]
Publicēts 02.02.2016 10:33:58 | | |

Ugunsmūrī ir divu veidu politikas darbības: DROP un REEJECT, un atšķirības ir šādas:
1. DROP darbība ir vienkārši tieši izmest datus bez atgriezeniskās saites. Ja klients gaida taimautu, ugunsmūris var viegli bloķēt klientu.
2. Darbība REJECT pieklājīgāk atgriezīs noraidīšanas (pārtrauktu) paketi (TCP FIN vai UDP-ICMP-PORT-UNREACHABLE) un nepārprotami noraidīs otras puses savienojuma darbību. Savienojums tiek nekavējoties atvienots, un klients domā, ka piekļuves resursdators nepastāv. REJECT ir daži atgriešanas parametri IPTABLES, piemēram, ICMP port-unreachable, ICMP echo-reply vai tcp-reset (šī pakete lūgs otrai pusei izslēgt savienojumu).

Nav pārliecinošs, vai ir lietderīgi izmantot DROP vai REEJECT, jo abi patiešām ir piemērojami. REJECT ir atbilstošāks tips
un vieglāk diagnosticēt un atkļūdot tīkla/ugunsmūra problēmas kontrolētā tīkla vidē; Un DROP nodrošina
Augstāka ugunsmūra drošība un neliels efektivitātes pieaugums, bet, iespējams, pateicoties nestandartizētai (ne pārāk atbilstošai TCP savienojuma specifikācijai) DROP apstrādei
Tas var izraisīt neparedzētas vai grūti diagnosticējamas problēmas ar tīklu. Jo, lai gan DROP vienpusēji pārtrauc savienojumu, tas neatgriežas birojā
Tāpēc savienojuma klients pasīvi gaidīs, līdz TCP sesijas taimauts, lai noteiktu, vai savienojums ir veiksmīgs, lai virzītu uzņēmuma iekšējo tīklu
Dažām klienta programmām vai lietojumprogrammām ir nepieciešams IDENT protokola atbalsts (TCP ports 113, RFC 1413), ja to nepieļaujat
Ja ugunsmūris lieto DROP noteikumu bez iepriekšēja brīdinājuma, visi līdzīgie savienojumi neizdosies, un būs grūti noteikt, vai tas ir saistīts ar taimautu
Problēma ir saistīta ar ugunsmūri vai tīkla ierīces/līnijas kļūmi.

Neliela personīgā pieredze, izvietojot ugunsmūri iekšējam uzņēmumam (vai daļēji uzticamam tīklam), labāk ir izmantot džentlmeniskāku REJECT
metode, tas pats attiecas uz tīkliem, kuriem bieži jāmaina vai jāatkļūdo noteikumi; Bīstama interneta/ārtīklu ugunsmūriem,
Ir jāizmanto brutālāka, bet drošāka DROP metode, kas zināmā mērā var palēnināt hakeru uzbrukuma progresu (un vismaz DROP)
var padarīt tos TCP-Connect portu skenēšanu ilgāku).




Iepriekšējo:DOS uzbrukuma gadījums, kas balstīts uz UDP portu 80
Nākamo:C# Process.Start() metode ir detalizēti izskaidrota

Saistītās ziņas
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com