31
複雑なファイアウオールufwを使用して、拒否と拒否を設定できます。例えばufw拒否と拒否のLinuxファイアウォールの違い
:
ufw deny www
ufw reject www
誰かが私には二つのアプローチの違いを説明できますか?
A
答えて
46
"deny"は、着信パケットを黙って破棄するDROP iptablesターゲットを使用します。
"reject"は、拒否されたパケットの送信者にエラーパケットを返すREJECT iptablesターゲットを使用します。 ufw manual pageから
:
時にはトラフィックが が拒否されているときに、送信者ではなく、単にそれを無視するよりも、知っていることが望ましいです。このような場合は、拒否の代わりに拒否 を使用してください。
サーバーに接続しようとするユーザー/プログラムの観点から:
接続の試行がタイムアウト、いくつかの短い時間まで待ってプログラムを続ける「拒否」後で。
"拒否"を指定すると、すぐに非常に有益な「Connection refused」メッセージが生成されます。
EDIT:
セキュリティの観点から、 "拒否" preferrable 少しです。潜在的な攻撃者からすべての接続を強制的にタイムアウトさせるため、サーバーの調査が遅くなります。
経験豊かな攻撃者は実際には影響を受けません。通常は辛抱強く、スローダウンに対処するにはいくつかの方法があります。しかし、偶然の熱心な人には、nmapのマニュアルページを読むことさえ気にしないかもしれません。
"拒否"は、エラーパケットを送信しないことによってアップリンク上に少しの帯域幅を節約します。これは、DoS攻撃が、通常は狭いアップリンクをエラーパケットで飽和させるような非対称ネットワーク接続では重要です。
一方、あなたが自分の接続を拒否していることを知らせるのはもう少し丁寧です。接続が拒否されていると、人々は、おそらくそれが恒久的なポリシーの決定であることを知ることができます。短期的なネットワーキングの問題。
関連する問題
- 1. 違いは、コアデータで拒否
- 2. 拒否を拒否するフラッシュセキュリティパネル
- 3. スパムフィルタとSPF拒否
- 4. 許可拒否
- 5. iPhoneアプリ拒否
- 6. アプリケーションは拒否:
- 7. パーミッション拒否clearfsimport
- 8. スプリングセキュリティアクセス拒否ハンドラ
- 9. HTTPヘッダーの拒否とnnCoection
- 10. NabとRabbitMQの拒否
- 11. 春のセキュリティアクセスを拒否標準の応答を拒否
- 12. UnhandledPromiseRejectionWarning:未処理の約束拒否(拒否ID:1):UnhandledPromiseRejectionWarning:未処理の約束拒否(拒否ID:1):このコードを実行するときに3
- 13. HTML5拒否/拒否の後でGeolocationを再度呼び出す
- 14. おそらく未処理の拒否拒否し、$ qを
- 15. Wordpressのエラーが拒否して拒否する
- 16. Googleフォームの拒否を拒否または応答を削除
- 17. プロミス - 返品拒否または拒否(値)の差
- 18. ファイアウォール上のすべてのプロキシを拒否する
- 19. Appleが拒否されたエラーのメタデータと私のアプリを拒否
- 20. はインターネット(パーミッション拒否)
- 21. 権限拒否:オープンプロバイダ
- 22. Node.jsディスコードボットプロミス拒否エラー
- 23. 約束拒否(ネットワークエラー)
- 24. Java.security.AccessControlException:アクセス拒否エラー
- 25. Googleジオコーディングアクセス拒否エラー
- 26. アクセス拒否GVR SDK
- 27. 拒否された/拒否されたプルリクエストを処理する
- 28. トリガで拒否文を拒否するMySQL
- 29. エラーを拒否(接続が拒否されました)
- 30. アクセスを拒否したファイルを拒否しました。エラー
スローダウンは実際にDROPの主なセキュリティ上の利点ではありません。むしろ、攻撃者はサービスがまったく実行されていることを伝えることはできません。これは、開いているポートの広範囲のIPアドレスをスキャンしている攻撃者は、DROPを使用した場合、あなたから移動する可能性が高くなりますが、REJECTを実行すると、該当するポートのさらなる脆弱性調査のターゲットになります。何かが聞いていることが分かっています。 – JBentley