ufw Linux防火墙拒绝和拒绝之间的区别
使用简单的防火墙ufw Linux防火墙拒绝和拒绝之间的区别,linux,firewall,Linux,Firewall,使用简单的防火墙ufw,我可以将端口/服务设置为拒绝和拒绝 例如: ufw deny www ufw reject www 有人能给我解释一下这两种方法之间的区别吗?“deny”使用DROP目标,它会自动丢弃传入的数据包 “拒绝”使用拒绝iptables目标,该目标将错误数据包发送回被拒绝数据包的发送方 从: 有时,最好让发送方知道何时正在进行通信 否认,而不是简单地忽略它。在这些情况下,请使用reject 而不是否认 从试图连接到服务器的用户/程序的角度来看: “拒绝”将使程序一直等待,
ufw
,我可以将端口/服务设置为拒绝和拒绝
例如:
ufw deny www
ufw reject www
有人能给我解释一下这两种方法之间的区别吗?“deny”使用DROP目标,它会自动丢弃传入的数据包
“拒绝”使用拒绝iptables目标,该目标将错误数据包发送回被拒绝数据包的发送方
从:
有时,最好让发送方知道何时正在进行通信
否认,而不是简单地忽略它。在这些情况下,请使用reject
而不是否认
从试图连接到服务器的用户/程序的角度来看:
- “拒绝”将使程序一直等待,直到连接尝试超时,一段短时间后
- “拒绝”将立即生成一条信息量很大的“拒绝连接”消息
nmap
手册页面的人望而却步
“拒绝”还将通过不发送错误数据包在上行链路上节省一点带宽。这在非对称网络连接上可能很重要,因为DoS攻击可能会使通常较窄的上行链路充满错误数据包
另一方面,让别人知道你拒绝了他们的联系会更礼貌一些。拒绝连接让人们知道,这很可能是一个永久性的政策决定,而不是一个短期的网络问题。降低速度并不是DROP真正的主要安全好处。事实上,攻击者根本无法判断是否有任何服务正在运行。这意味着,如果您使用DROP,正在扫描大范围IP地址以查找开放端口的攻击者可能会离开您,而如果您拒绝,则会成为适用端口上进一步漏洞调查的目标,因为你泄露了有东西在监听。防火墙也会阻止来自本地主机的传入连接吗??因为我想拒绝我的笔记本电脑到8080端口的所有传入连接,但在使用RoR进行开发时,我需要从localhost使用此端口。@JBentley只有在所有端口都断开时才有效。如果其中一些是打开的,而另一些是掉落的,则攻击者可以判断您可能正在使用防火墙。在这种情况下,您绝对不会获得可见性优势。另见此处: