ufw Tường lửa Linux khác biệt giữa từ chối và từ chối

Question

Sử dụng tường lửa không biến chứng ufw, tôi có thể đặt cổng/dịch vụ để từ chối và từ chối.

Ví dụ:

ufw deny www 

ufw reject www 

Ai đó có thể giải thích cho tôi sự khác biệt giữa hai cách tiếp cận?

Answer 1

"từ chối" sử dụng mục tiêu DROP iptables, âm thầm loại bỏ các gói đến.

"từ chối" sử dụng mục tiêu iADables REJECT, sẽ gửi lại gói lỗi tới người gửi gói bị từ chối.

Từ ufw manual page:

Đôi khi đó là mong muốn cho người gửi biết khi giao thông đang được bị từ chối, chứ không phải chỉ đơn giản là bỏ qua nó. Trong những trường hợp này, hãy sử dụng từ chối thay vì từ chối.

Từ quan điểm của người sử dụng/chương trình đang cố gắng để kết nối với máy chủ của bạn:

• "từ chối" sẽ tiếp tục chương trình chờ đợi cho đến khi lần cố gắng kết nối ra ngoài, một thời gian ngắn một lát sau.

• "từ chối" sẽ tạo ra thông báo "Kết nối bị từ chối" ngay lập tức và rất mang tính thông tin.

EDIT:

Từ quan điểm bảo mật của xem "từ chối" là hơi preferrable. Nó sẽ buộc mọi kết nối từ một kẻ tấn công tiềm năng hết thời gian chờ, do đó làm chậm quá trình thăm dò máy chủ của bạn.

Kẻ tấn công có kinh nghiệm và/hoặc xác định sẽ không thực sự bị ảnh hưởng - chúng thường là bệnh nhân và có một số cách để giải quyết chậm lại. Nó có thể ngăn cản wannabe không thường xuyên mà thậm chí không bận tâm để đọc các trang hướng dẫn sử dụng nmap, mặc dù.

"từ chối" cũng sẽ tiết kiệm được một chút băng thông trên đường lên bằng cách không gửi gói lỗi. Điều này có thể quan trọng đối với các kết nối mạng không đối xứng trong đó tấn công DoS có thể đơn giản làm bão hòa đường dẫn - thường hẹp hơn - với các gói lỗi.

Mặt khác, nó lịch sự hơn một chút để cho mọi người biết rằng bạn đang từ chối kết nối của họ. Kết nối bị từ chối cho phép mọi người biết rằng đó có thể là quyết định chính sách vĩnh viễn nhất, thay vì ví dụ: một vấn đề về mạng ngắn hạn.