Saltar al contenido

REJECT vs DROP al usar iptables

Esta sección fue aprobado por especialistas para que tengas la seguridad de la veracidad de nuestra esta noticia.

Solución:

Solución 1:

Como regla general, use REJECT cuando quiera que el otro extremo sepa que el puerto es inalcanzable. Use DROP para conexiones a hosts que no quiere que la gente vea.

Por lo general, todas las reglas para las conexiones dentro de su LAN deben usar REJECT. Para Internet, con la excepción de la identificación en ciertos servidores, las conexiones de Internet generalmente se CIERRAN.

El uso de DROP hace que la conexión parezca ser una dirección IP desocupada. Los escáneres pueden optar por no continuar escaneando las direcciones que parecen desocupadas. Dado que se puede utilizar NAT para redirigir una conexión en el cortafuegos, la existencia de un servicio conocido no indica necesariamente la existencia de un servidor en una dirección.

La identificación debe pasarse o rechazarse en cualquier dirección que proporcione el servicio SMTP. Sin embargo, el uso de búsquedas de Ident por parte de los servidores SMTP ha dejado de usarse. Hay protocolos de chat que también se basan en un servicio de identificación en funcionamiento.

EDITAR: Al usar las reglas DROP: – Los paquetes UDP se eliminarán y el comportamiento será el mismo que al conectarse a un puerto sin firewall y sin servicio. – Los paquetes TCP devolverán un ACK/RST, que es la misma respuesta con la que responderá un puerto abierto sin servicio. Algunos enrutadores responderán con ACK/RST en nombre de los servidores que están inactivos.

Cuando se utilizan reglas de RECHAZO, se envía un paquete ICMP que indica que el puerto no está disponible.

Solución 2:

La diferencia es que el destino REJECT envía una respuesta de rechazo a la fuente, mientras que el destino DROP no envía nada.

Esto puede ser útil, por ejemplo, para el servicio de identificación. Si usa REJECT, los clientes no necesitan esperar el tiempo de espera.

Más sobre esto: http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html


Solución 3:

Por lo general, desea pasar por alto sondeos de atacantes a ciertos puertos, con lo que quiero decir que no desea enviar de vuelta ‘conexión rechazada’. ‘Conexión rechazada’ significa: ‘hay un servidor aquí’, y posiblemente brinda más información, mientras que descartar un paquete no brinda pistas sobre versiones de software, posibles vulnerabilidades o incluso el hecho de que un servidor está escuchando su IP.

Lo anterior es una de las principales razones para usar DROP en lugar de REJECT.


Solución 4:

Veo muchas respuestas contradictorias aquí y dado que este es el primer artículo en Google con las palabras clave correctas; aquí está la explicación correcta.
Es simple:

DROP no hace nada en absoluto con el paquete. No se reenvía a un host, no se responde. La página de manual de IPtables dice que deja caer el paquete en el suelo, es decir, no hace nada con el paquete.

REJECT difiere de DROP en que devuelve un paquete, pero la respuesta es como si un servidor estuviera ubicado en la IP, pero no tuviera el puerto en estado de escucha. IPtables enviará un RST/ACK en caso de TCP o con UDP un puerto de destino ICMP inalcanzable.


Solución 5:

Si está tratando de ocultar por completo la existencia de su máquina, -j DROP es apropiado. Por ejemplo, puede usar esto para implementar una lista negra.

Si intenta ocultar el hecho de que un puerto está abierto, debe imitar el comportamiento que ocurriría si el puerto no estuviera abierto:

  • TCP: -p tcp -j REJECT --reject-with tcp-reset
  • UDP: -p udp -j REJECT --reject-with icmp-port-unreachable

Si un escáner de puertos ve que algunos puertos descartan paquetes mientras que la mayoría los rechaza, puede suponer que los paquetes descartados están en puertos que están abiertos pero ocultos.

Sección de Reseñas y Valoraciones

Si te ha resultado de provecho nuestro post, sería de mucha ayuda si lo compartieras con otros programadores y nos ayudes a extender nuestro contenido.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *