Skocz do zawartości

Iptables Pytanko


dawidson

Rekomendowane odpowiedzi

Witam,

Powiedcie mi tylko czy DROP to jest porzuc i przejdz do nastepnej reguly czy (_wogole_ → w ogóle) ORT porzuc pakiet.

A jaka jest roznica miedzy DROP a REJECT skoro obydwa wedlug mnie maja takie samo dzialanie ?

 

Przepraszam za zawracanie ..... juz wszystko znalazlem troche wiecej klepania

Podaje dla osob chcacych sie dowiedziec jak nawiecej

artykuly

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Działa to w ten sposób, że reguły firewalla sprawdzane są od góry do dołu czyli jak zabronisz na jakiś ruch a potem bedzie kolejna reguła która zezwala na takich ruch to firewall przepuści. Różnica miedzy DROP a REJECT jest następująca

DROP porzuca pakiet i nie zwraca nadawcy żadnego komunikatu.

REJECT zwraca komunikat o niedostępności źródła.

DROP używamy wtedy jesli chcemy byc niewidoczni w sieci np zabezpiecza nasz lepiej przed skanowaniem nmap. REJECT jest używane jesli chcesz komuś w jawny sposób dać do zrozumienia że ten ruch jest blokowany!!

Odnośnik do komentarza
Udostępnij na innych stronach

Gość amdfanatyk

nie do konca tak jest;

 

jesli ruch zostanie zdropowany to juz kolejna regula accept nic nie da, dlatego reguly umieszcza sie w kolejnosci od szczegolu, do ogolu, np:

 

iptables -A INPUT -p tcp --dport 443 -s 123.123.0.0/16 -j ACCEPT

iptables -A INPUT -j DROP

 

co innego, jesli ustawimy domyslna polityke:

 

iptables -P INPUT DROP

 

wtedy rzeczywiscie umieszczenie np:

 

iptables -A INPUT -p tcp --dport 443 -s 123.123.0.0/16 -j ACCEPT

 

przed lub po linii z -P wpusci pakiety spod ip 123.123.0.0/16 na port 443 tcp; dzieje sie tak poniewaz domyslna polityka stosowana jest dopiero w przypadku braku reguly okreslajacej co z danym pakietem ma sie stac;

 

REJECT odrzuca pakiet z wyslaniem potwierdzenia jego odbioru, efekt jest taki jak przy ACCEPT i braku bindowania portu przez usluge, z ta tylko roznica, ze w kazdym momencie port moze zostac otwarty; DROP odrzuca pakiet i nie wysyla potwierdzenia, dzieki temu port ma status stealth.

Odnośnik do komentarza
Udostępnij na innych stronach

Dobra, a jak mam ustawione INPUT DROP ( no i patre innych rzeczy nieistotne chyba teraz...

to co przy wyłączaniu kompa robi napis:

Czyszczenie reguł dla plityki ACCEPT : filter?

 

iptables:

ablica: filter
Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state ESTABLISHED 
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `FROM INPUT DROP' 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255 
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...