31
복잡하지 않은 방화벽 ufw을 사용하여 거부/거부하도록 포트/서비스를 설정할 수 있습니다.ufw 거부 및 거부 사이의 Linux 방화벽 차이
ufw deny www
ufw reject www
누군가가 나에게 두 가지 접근 방식의 차이를 설명 할 수 : 예를 들어
?
A
답변
46
"거부"는 들어오는 패킷을 자동으로 삭제하는 DROP iptables 대상을 사용합니다.
"reject"는 거부 된 패킷의 발신자에게 오류 패킷을 다시 보내는 REJECT iptables 대상을 사용합니다. ufw manual page에서
:
: 밖으로 연결 시도 시간이 될 때까지 대기하는 프로그램을 유지합니다을 때로는 트래픽이 단순히 그것을 무시하는 것보다, 가 거부 될 때 보낸 사람이 알 수 있도록하는 것이 바람직하다. 이러한 경우 deny 대신 reject 을 사용하십시오. 서버에 연결하려는 사용자/프로그램의 관점에서
"거부", 약간 짧은 시간 후에.
"거부"는 즉각적이고 매우 유익한 "Connection refused"메시지를 생성합니다. 편집
: 보안 관점에서
는 "부인은"약간보다 더 낫다입니다. 잠재적 인 공격자와의 모든 연결이 강제로 종료되므로 서버 탐색 시간이 느려집니다.
경험 많은 공격자 또는 결정한 공격자는 실제로 영향을받지 않습니다. 대개 환자이며 느려지기를 처리 할 수있는 몇 가지 방법이 있습니다. 그래도 nmap 매뉴얼 페이지를 읽지 않아도 가끔은 지망생을 실망시킬 수도 있습니다.
"거부"는 오류 패킷을 보내지 않음으로써 업 링크에 약간의 대역폭을 절약합니다. 이것은 DoS 공격이 오류 패킷으로 - 일반적으로 더 좁은 - 업 링크를 포화시킬 수있는 비대칭 네트워크 연결에서 중요 할 수 있습니다.
반면에, 사람들이 자신의 연결을 거부하고 있음을 알리는 것은 좀 더 예의입니다. 거부 된 연결은 사람들이 예를 들어, 정책 결정보다는 영구 정책 결정 일 가능성이 있음을 알립니다. 단기적인 네트워킹 문제.
관련 문제
- 1. 액세스가 거부
- 2. : 액세스가 거부
- 3. 자제 및 허가 거부 문제
- 4. CC.Net 액세스 거부 오류
- 5. Tabbar의 UINavigationButton - 가능한 거부?
- 6. git에서 대용량 파일 거부
- 7. iPhone 앱 이름 거부?
- 8. 서비스 거부 공격 피하기
- 9. MYSQL : 선택 거부
- 10. SecurityException : 허가 거부 오류
- 11. DNS 서버 연결 거부
- 12. Openfeint 게임 승인/거부
- 13. git pull : 허가 거부
- 14. 연결이 거부 되었습니까?
- 15. fav36에 대한 액세스 거부
- 16. 동적으로 위치 액세스 거부
- 17. .net 회원 거부 로그인
- 18. tableViewHeader 여러 하위보기 거부
- 19. all.js의 권한 거부 오류
- 20. 인터넷 (권한이 거부)
- 21. 사용자 지정 역할 거부
- 22. 하면 fopen 권한이 거부
- 23. (액세스를 거부) 액세스 예외
- 24. Rx - 이벤트 수신 거부
- 25. 푸시 된 파일 거부
- 26. 디자이너 거부 사용자 컨트롤
- 27. su : 권한 거부 오류
- 28. OpentextFile 권한 거부 오류
- 29. JQuery : json을 거부 하시겠습니까?
- 30. 연결 거부 및 연결 시간 제한을 구분합니다.
Slow-down은 DROP의 주요 보안 이점이 아닙니다. 오히려 공격자가 전혀 실행중인 서비스가 없다는 것을 알 수 없다는 사실입니다. 즉, 열린 포트에 대해 광범위한 IP 주소를 검색하는 공격자는 DROP을 사용하면 자신의 것으로부터 이동할 가능성이 높지만 거부하면 해당 포트에 대한 추가 취약성 조사의 대상이됩니다. 뭔가가 듣고 있다는 것을 알려줍니다. – JBentley