ufw Linux防火墙拒绝和拒绝之间的区别

使用简单的防火墙

ufw

，我可以将端口/服务设置为拒绝和拒绝

例如：

ufw deny www

ufw reject www

有人能给我解释一下这两种方法之间的区别吗？

“deny”使用DROP目标，它会自动丢弃传入的数据包

“拒绝”使用拒绝iptables目标，该目标将错误数据包发送回被拒绝数据包的发送方

从：

有时，最好让发送方知道何时正在进行通信 否认，而不是简单地忽略它。在这些情况下，请使用reject 而不是否认

从试图连接到服务器的用户/程序的角度来看：

• “拒绝”将使程序一直等待，直到连接尝试超时，一段短时间后

• “拒绝”将立即生成一条信息量很大的“拒绝连接”消息

编辑：

从安全的角度来看，“拒绝”稍微好一点。它将强制来自潜在攻击者的每个连接超时，从而减慢对服务器的探测

经验丰富和/或意志坚定的攻击者不会受到真正的影响-他们通常很有耐心，无论如何，有几种方法可以应对这种减速。不过，这可能会让偶尔不想阅读

nmap

手册页面的人望而却步

“拒绝”还将通过不发送错误数据包在上行链路上节省一点带宽。这在非对称网络连接上可能很重要，因为DoS攻击可能会使通常较窄的上行链路充满错误数据包

---

另一方面，让别人知道你拒绝了他们的联系会更礼貌一些。拒绝连接让人们知道，这很可能是一个永久性的政策决定，而不是一个短期的网络问题。

降低速度并不是DROP真正的主要安全好处。事实上，攻击者根本无法判断是否有任何服务正在运行。这意味着，如果您使用DROP，正在扫描大范围IP地址以查找开放端口的攻击者可能会离开您，而如果您拒绝，则会成为适用端口上进一步漏洞调查的目标，因为你泄露了有东西在监听。防火墙也会阻止来自本地主机的传入连接吗？？因为我想拒绝我的笔记本电脑到8080端口的所有传入连接，但在使用RoR进行开发时，我需要从localhost使用此端口。@JBentley只有在所有端口都断开时才有效。如果其中一些是打开的，而另一些是掉落的，则攻击者可以判断您可能正在使用防火墙。在这种情况下，您绝对不会获得可见性优势。另见此处：