Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Outras Tecnologias Windows/Linux Diferença entre DROP e REJECT
Vista: 11350|Resposta: 0

[Linux] Diferença entre DROP e REJECT

[Copiar link]
Publicado em 02/02/2016 10:33:58 | | |

Existem dois tipos de ações de política no firewall: DROP e REJECT, e as diferenças são as seguintes:
1. A ação DROP é simplesmente descartar diretamente os dados sem feedback de resposta. Se o cliente esperar pelo timeout, pode facilmente se ver bloqueado pelo firewall.
2. A ação REJECT retornará um pacote reject (terminado) (TCP, FIN ou UDP-ICMP-PORT-UNREACHABLE) de forma mais educada e explicitamente rejeitará a ação de conexão da outra parte. A conexão é imediatamente desconectada, e o cliente pensa que o host acessado não existe. REJECT possui alguns parâmetros de retorno no IPTABLES, como ICMP port-unreachable, ICMP echo-reply ou tcp-reset (esse pacote pedirá à outra parte que desligue a conexão).

Não há uma conclusão conclutiva se é apropriado usar DROP ou REJECT, pois ambos são realmente aplicáveis. REJECT é um tipo mais compatível
e mais fácil de diagnosticar e depurar problemas de rede/firewall em um ambiente de rede controlado; E o DROP fornece
Maior segurança de firewall e ganhos de eficiência leves, mas possivelmente devido ao manuseio não padronizado (não muito compatível com a especificação de conexão TCP) do DROP
Isso pode causar problemas inesperados ou difíceis de diagnosticar na sua rede. Porque, embora o DROP interrompa unilateralmente a conexão, ele não retorna ao escritório
Portanto, o cliente de conexão aguardará passivamente até que a sessão TCP expire para determinar se a conexão é bem-sucedida, a fim de avançar a rede interna da empresa
Alguns programas ou aplicações clientes exigem suporte ao protocolo IDENT (TCP Port 113, RFC 1413) se você evitar isso
Se o firewall aplicar a regra DROP sem aviso prévio, todas as conexões semelhantes falharão, e será difícil determinar se isso é devido ao timeout
O problema é devido ao firewall ou à falha do dispositivo/linha de rede.

Uma pequena experiência pessoal: ao implantar um firewall para uma empresa interna (ou uma rede parcialmente confiável), é melhor usar um REJECT mais cavalheirista
o mesmo vale para redes que precisam alterar ou depurar regras com frequência; Para firewalls para Internet/extranets perigosos,
É necessário usar um método de DROP mais brutal, porém seguro, que pode retardar o progresso (e dificuldade, pelo menos, DROP) do ataque de hacking até certo ponto
pode fazer com que a varredura de portas TCP-Connect deles seja mais longa).




Anterior:Caso de ataque DOS baseado na porta UDP 80
Próximo:O método C# Process.Start() é explicado em detalhes

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com