dawidson Napisano Luty 27, 2006 Zgłoszenie Share Napisano Luty 27, 2006 Witam, Powiedcie mi tylko czy DROP to jest porzuc i przejdz do nastepnej reguly czy (_wogole_ → w ogóle) ORT porzuc pakiet. A jaka jest roznica miedzy DROP a REJECT skoro obydwa wedlug mnie maja takie samo dzialanie ? Przepraszam za zawracanie ..... juz wszystko znalazlem troche wiecej klepania Podaje dla osob chcacych sie dowiedziec jak nawiecej artykuly Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ati Napisano Luty 27, 2006 Zgłoszenie Share Napisano Luty 27, 2006 Działa to w ten sposób, że reguły firewalla sprawdzane są od góry do dołu czyli jak zabronisz na jakiś ruch a potem bedzie kolejna reguła która zezwala na takich ruch to firewall przepuści. Różnica miedzy DROP a REJECT jest następująca DROP porzuca pakiet i nie zwraca nadawcy żadnego komunikatu. REJECT zwraca komunikat o niedostępności źródła. DROP używamy wtedy jesli chcemy byc niewidoczni w sieci np zabezpiecza nasz lepiej przed skanowaniem nmap. REJECT jest używane jesli chcesz komuś w jawny sposób dać do zrozumienia że ten ruch jest blokowany!! Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Luty 27, 2006 Zgłoszenie Share Napisano Luty 27, 2006 nie do konca tak jest; jesli ruch zostanie zdropowany to juz kolejna regula accept nic nie da, dlatego reguly umieszcza sie w kolejnosci od szczegolu, do ogolu, np: iptables -A INPUT -p tcp --dport 443 -s 123.123.0.0/16 -j ACCEPT iptables -A INPUT -j DROP co innego, jesli ustawimy domyslna polityke: iptables -P INPUT DROP wtedy rzeczywiscie umieszczenie np: iptables -A INPUT -p tcp --dport 443 -s 123.123.0.0/16 -j ACCEPT przed lub po linii z -P wpusci pakiety spod ip 123.123.0.0/16 na port 443 tcp; dzieje sie tak poniewaz domyslna polityka stosowana jest dopiero w przypadku braku reguly okreslajacej co z danym pakietem ma sie stac; REJECT odrzuca pakiet z wyslaniem potwierdzenia jego odbioru, efekt jest taki jak przy ACCEPT i braku bindowania portu przez usluge, z ta tylko roznica, ze w kazdym momencie port moze zostac otwarty; DROP odrzuca pakiet i nie wysyla potwierdzenia, dzieki temu port ma status stealth. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ati Napisano Luty 28, 2006 Zgłoszenie Share Napisano Luty 28, 2006 Generalnie firewalla na iptables tworzymy od ustawienia domyślnej polityki na DROP. Moja wypowiedz była bardzo ogólna do pogłębienia wiadomości odsyłam do packet-filtering-HOWTO informacje w tym howto powinny rozwiać wszelkie wątpliwości. Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dawidson Napisano Luty 28, 2006 Autor Zgłoszenie Share Napisano Luty 28, 2006 Dzieki bardzo wlasnie to znalazlem na poczatku. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ati Napisano Marzec 1, 2006 Zgłoszenie Share Napisano Marzec 1, 2006 Więc po co te pytania ??? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Marzec 1, 2006 Zgłoszenie Share Napisano Marzec 1, 2006 Dobra, a jak mam ustawione INPUT DROP ( no i patre innych rzeczy nieistotne chyba teraz... to co przy wyłączaniu kompa robi napis: Czyszczenie reguł dla plityki ACCEPT : filter? iptables: ablica: filter Chain FORWARD (policy DROP) target prot opt source destination Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `FROM INPUT DROP' Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się