31
複雑なファイアウオールufwを使用して、拒否と拒否を設定できます。例えばufw拒否と拒否のLinuxファイアウォールの違い
:
ufw deny www
ufw reject www
誰かが私には二つのアプローチの違いを説明できますか?
A
答えて
46
"deny"は、着信パケットを黙って破棄するDROP iptablesターゲットを使用します。
"reject"は、拒否されたパケットの送信者にエラーパケットを返すREJECT iptablesターゲットを使用します。 ufw manual pageから
:
時にはトラフィックが が拒否されているときに、送信者ではなく、単にそれを無視するよりも、知っていることが望ましいです。このような場合は、拒否の代わりに拒否 を使用してください。
サーバーに接続しようとするユーザー/プログラムの観点から:
接続の試行がタイムアウト、いくつかの短い時間まで待ってプログラムを続ける「拒否」後で。
"拒否"を指定すると、すぐに非常に有益な「Connection refused」メッセージが生成されます。
EDIT:
セキュリティの観点から、 "拒否" preferrable 少しです。潜在的な攻撃者からすべての接続を強制的にタイムアウトさせるため、サーバーの調査が遅くなります。
経験豊かな攻撃者は実際には影響を受けません。通常は辛抱強く、スローダウンに対処するにはいくつかの方法があります。しかし、偶然の熱心な人には、nmapのマニュアルページを読むことさえ気にしないかもしれません。
"拒否"は、エラーパケットを送信しないことによってアップリンク上に少しの帯域幅を節約します。これは、DoS攻撃が、通常は狭いアップリンクをエラーパケットで飽和させるような非対称ネットワーク接続では重要です。
一方、あなたが自分の接続を拒否していることを知らせるのはもう少し丁寧です。接続が拒否されていると、人々は、おそらくそれが恒久的なポリシーの決定であることを知ることができます。短期的なネットワーキングの問題。
関連する問題
- 1. 拒否を拒否するフラッシュセキュリティパネル
- 2. スプリングセキュリティアクセス拒否ハンドラ
- 3. iPhoneアプリ拒否
- 4. パーミッション拒否clearfsimport
- 5. HTTPヘッダーの拒否とnnCoection
- 6. HTML5拒否/拒否の後でGeolocationを再度呼び出す
- 7. 権限拒否:オープンプロバイダ
- 8. はインターネット(パーミッション拒否)
- 9. Java.security.AccessControlException:アクセス拒否エラー
- 10. トリガで拒否文を拒否するMySQL
- 11. 拒否された/拒否されたプルリクエストを処理する
- 12. ASP.NETメンバーシップアクセス拒否のユーザー
- 13. Herokuのプッシュは、拒否バンドラー
- 14. Appleからの拒否
- 15. フェイスブック認証の拒否
- 16. SecurityException:許可の拒否エラー
- 17. iOSアプリケーションのアップロード拒否
- 18. パーミッション拒否エラーcrontabの
- 19. fav36へのアクセスを拒否
- 20. パーミッション拒否エラーと7つの
- 21. アクセス拒否エラーはJavaScript
- 22. c#system.net.FileWebRequestアクセス拒否エラー
- 23. DataTemplate.DataTypeを拒否するデザイナ
- 24. java.lang.SecurityException:アクセス拒否:開始インテント
- 25. ! [リモート拒否]エラーがgitリポジトリ
- 26. MySQL - エラー1045、アクセス拒否
- 27. アンドロイド23 URI許可拒否
- 28. iOSアプリは拒否 - プライベートシンボルmach_init_routine
- 29. 春セキュリティアクセス拒否例外
- 30. ASP.NETとActiveDirectory一般アクセス拒否エラー
スローダウンは実際にDROPの主なセキュリティ上の利点ではありません。むしろ、攻撃者はサービスがまったく実行されていることを伝えることはできません。これは、開いているポートの広範囲のIPアドレスをスキャンしている攻撃者は、DROPを使用した場合、あなたから移動する可能性が高くなりますが、REJECTを実行すると、該当するポートのさらなる脆弱性調査のターゲットになります。何かが聞いていることが分かっています。 – JBentley