使用iptables时REJECT vs DROP

Modified on: Thu, 14 Nov 2019 04:20:02 +0800

我有什么理由想要

iptables -A INPUT -j REJECT

而不是

iptables -A INPUT -j DROP

最佳答案

作为一般规则,当您希望另一端知道端口无法访问时,请使用REJECT'使用DROP连接到您不希望别人看到的主机。

通常,LAN内连接的所有规则都应使用REJECT。对于Internet,除了某些服务器上的ident之外,来自Internet的连接通常都是删除的。

使用DROP使连接看起来是未占用的IP地址。扫描仪可能选择不继续扫描看似未占用的地址。鉴于NAT可用于重定向防火墙上的连接,众所周知的服务的存在并不一定表明地址上存在服务器。

应在提供SMTP服务的任何地址上传递或拒绝Ident。但是,SMTP服务使用Ident查找已经不再使用了。有聊天协议也依赖于工作识别服务。

编辑:使用DROP规则时:
  - UDP数据包将被丢弃,其行为与连接到没有服务的无壁灯端口的行为相同。
  - TCP数据包将返回ACK / RST,这与没有服务的开放端口将响应的响应相同。一些路由器将代表已关闭的服务器响应和ACK / RST。

使用REJECT规则时,会发送ICMP数据包,表明端口不可用。

作者:,BillThor

相关问答

添加新评论