Tento článok je zrkadlovým článkom o strojovom preklade, kliknite sem pre prechod na pôvodný článok.

Architect_Programmer_Code Poľnohospodárska sieť»Architekt Ďalšie technológie Windows/Linux Rozdiel medzi DROP a REJECT
Pohľad: 11350|Odpoveď: 0

[linux] Rozdiel medzi DROP a REJECT

[Kopírovať odkaz]
Zverejnené 2. 2. 2016 10:33:58 | | |

V firewalle existujú dva typy politických akcií: DROP a REJECT, pričom rozdiely sú nasledovné:
1. Akcia DROP je jednoducho priamo zahodiť dáta bez akejkoľvek spätnej väzby. Ak klient čaká na časový limit, môže byť ľahko zablokovaný firewallom.
2. Akcia ODMIETNUŤ vráti balík odmietnuť (ukončený) (TCP FIN alebo UDP-ICMP-PORT-UNREACHABLE) zdvorilo a explicitne odmietne akciu spojenia druhej strany. Pripojenie je okamžite odpojené a klient si myslí, že prístupný hostiteľ neexistuje. REJECT má v IPTABLES niektoré návratové parametre, ako napríklad ICMP port-nedostupný, ICMP echo-reply alebo tcp-reset (tento paket požiada druhú stranu, aby ukončila spojenie).

Nie je jednoznačné, či je vhodné použiť DROP alebo REJECT, keďže oba sú skutočne použiteľné. REJECT je viac poslušný typ
a jednoduchšie diagnostikovať a ladiť problémy so sieťou/firewallom v kontrolovanom sieťovom prostredí; A DROP poskytuje
Vyššia bezpečnosť firewallu a mierne zvýšenie efektivity, ale pravdepodobne kvôli neštandardizovanému (nie veľmi kompatibilnému so špecifikáciou TCP pripojenia) spracovaniu DROP
Môže to spôsobiť nečakané alebo ťažko diagnostikovateľné problémy s vašou sieťou. Pretože hoci DROP jednostranne preruší spojenie, nevráti sa do kancelárie
Preto klient spojenia pasívne počká, kým TCP relácia vyprší, aby určil, či je pripojenie úspešné, čím posunie vnútornú sieť podniku vpred
Niektoré klientské programy alebo aplikácie vyžadujú podporu protokolu IDENT (TCP Port 113, RFC 1413), ak jej zabránite
Ak firewall aplikuje pravidlo DROP bez upozornenia, všetky podobné pripojenia zlyhajú a bude ťažké určiť, či je to kvôli timeoutu
Problém je spôsobený firewallom alebo poruchou sieťového zariadenia/linky.

Malá osobná skúsenosť: pri nasadzovaní firewallu pre interný podnik (alebo čiastočne dôveryhodnú sieť) je lepšie použiť viac gentlemanský REJECT
metóda, to isté platí pre siete, ktoré musia často meniť alebo ladiť pravidlá; Pre firewally pre nebezpečný internet/extranety,
Je potrebné použiť brutálnejšiu, ale bezpečnejšiu metódu DROP, ktorá môže do istej miery spomaliť postup (a aspoň obtiažnosť, DROP) hackerského útoku
môže predĺžiť skenovanie portov cez TCP-Connect).




Predchádzajúci:DOS útok založený na UDP porte 80
Budúci:Metóda C# Process.Start() je podrobne vysvetlená

Súvisiace príspevky
Vyhlásenie:
Všetok softvér, programovacie materiály alebo články publikované spoločnosťou Code Farmer Network slúžia len na vzdelávacie a výskumné účely; Vyššie uvedený obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesú všetky následky používateľmi. Informácie na tejto stránke pochádzajú z internetu a spory o autorské práva s touto stránkou nesúvisia. Musíte úplne vymazať vyššie uvedený obsah zo svojho počítača do 24 hodín od stiahnutia. Ak sa vám program páči, podporte originálny softvér, zakúpte si registráciu a získajte lepšie originálne služby. Ak dôjde k akémukoľvek porušeniu, kontaktujte nás prosím e-mailom.
Mail To:help@itsvse.com