Qual a diferença na pratica entre o DROP e o REJECT ?
Como decidir qual usar ? pq ? onde afeta ?
Qual a diferença na pratica entre o DROP e o REJECT ?
Como decidir qual usar ? pq ? onde afeta ?
cara..
a diferença é basicamente isso:
REJECT: retorna como porta não encontrada
DROP: retorna acesso negado
agora qual a vantagem de usar um ou o outro não me recordo muito bem, e até onde lembro o REJECT não é usado em todas as tabelas..
valew
Postado originalmente por lucianogf
Cara, eu acredito ter havido um pequeno engano quanto ao DROP.
O DROP não gera
nenhuma resposta para quem mandou o pedido, simplesmente descarta
o pacote e pronto.
Bom, acredito ser melhor usar o DROP em virtude de gerar menos
overhead para o firewall e também tentar minimizar as chances de ter
um ataque brute-force, já que o REJECT ainda se preocupa em mandar
um pacote dizendo que o host está unreacheable.
Valew!! e isso mesmo fiz os teste!!
a eh? legalPostado originalmente por helio_traxx
passa ai pro pessoal oq vc fez pra testar isso, vai ser util pra mta gente
peguem la!!
a situacao foi a seguinte eu tenho varias sub-redes (varios setores) e queria restringir o acesso entre eles!! veja ai!
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:B00:F9:6C:89
inet end.: 200.241.108.150 Bcast:200.241.108.191 Masc:255.255.255.192
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:831909 errors:0 dropped:0 overruns:0 frame:0
TX packets:797848 errors:0 dropped:0 overruns:1 carrier:0
colisões:0 txqueuelen:100
RX bytes:466162203 (444.5 Mb) TX bytes:141928414 (135.3 Mb)
IRQ:11 Endereço de E/S:0xecc0 Memória:fe102000-fe102038
eth1 Encapsulamento do Link: Ethernet Endereço de HW 00:E0:7D:FB:57:74
inet end.: 10.0.5.6 Bcast:10.0.5.7 Masc:255.255.255.248
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:173583 errors:0 dropped:0 overruns:0 frame:0
TX packets:173317 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:21436050 (20.4 Mb) TX bytes:165914330 (158.2 Mb)
IRQ:10 Endereço de E/S:0xe800
eth2 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:11:3F:B4
inet end.: 10.0.6.6 Bcast:10.0.6.7 Masc:255.255.255.248
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:165781 errors:0 dropped:0 overruns:0 frame:0
TX packets:174090 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:29535602 (28.1 Mb) TX bytes:136597919 (130.2 Mb)
IRQ:11 Endereço de E/S:0xe000
eth3 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:11:3F:50
inet end.: 10.0.7.254 Bcast:10.0.7.255 Masc:255.255.255.0
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:9761 errors:0 dropped:0 overruns:0 frame:0
TX packets:12583 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:1225727 (1.1 Mb) TX bytes:13499281 (12.8 Mb)
IRQ:10 Endereço de E/S:0x6c00
eth4 Encapsulamento do Link: Ethernet Endereço de HW 00:E0:7D:AB:3C:58
inet end.: 10.0.8.30 Bcast:10.0.8.31 Masc:255.255.255.224
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:363602 errors:0 dropped:0 overruns:0 frame:0
TX packets:319390 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:79519369 (75.8 Mb) TX bytes:98942104 (94.3 Mb)
IRQ:11 Endereço de E/S:0x8800
eth5 Encapsulamento do Link: Ethernet Endereço de HW 00:30:4F:1F:2F:0C
inet end.: 10.0.9.6 Bcast:10.0.9.7 Masc:255.255.255.248
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:14788 errors:0 dropped:0 overruns:0 frame:0
TX packets:11323 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:2007641 (1.9 Mb) TX bytes:4879862 (4.6 Mb)
IRQ:10 Endereço de E/S:0xa400
eth6 Encapsulamento do Link: Ethernet Endereço de HW 00:A1:B0:09:8F:5F
inet end.: 10.0.10.254 Bcast:10.0.10.255 Masc:255.255.255.0
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:154530 errors:0 dropped:0 overruns:0 frame:0
TX packets:32938 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:12482343 (11.9 Mb) TX bytes:24121857 (23.0 Mb)
IRQ:11 Endereço de E/S:0xc000
Primeira Regra
#BLOQUEIO DE TRAFEGO ENTRE SUB-REDES
##CIA DA ARTE / PRINT MAIS
-A FORWARD -s 10.0.5.0/29 -d 10.0.6.0/29 -j DROP
-A FORWARD -s 10.0.6.0/29 -d 10.0.5.0/29 -j DROP
##CIA DA ARTE / CENTER KENNEDY
-A FORWARD -s 10.0.5.0/29 -d 10.0.7.0/24 -j DROP
-A FORWARD -s 10.0.7.0/24 -d 10.0.5.0/29 -j DROP
##CIA DA ARTE / CHAMA
-A FORWARD -s 10.0.5.0/29 -d 10.0.8.0/27 -j DROP
-A FORWARD -s 10.0.8.0/27 -d 10.0.5.0/29 -j DROP
##CIA DA ARTE / CHOPERIA
-A FORWARD -s 10.0.5.0/29 -d 10.0.9.0/29 -j DROP
-A FORWARD -s 10.0.9.0/29 -d 10.0.5.0/29 -j DROP
##CIA DA ARTE / TRAXX
-A FORWARD -s 10.0.8.0/27 -d 10.0.5.0/29 -j DROP
-A FORWARD -s 10.0.5.0/29 -d 10.0.8.0/27 -j DROP
##PRINT MAIS / CENTER KENNEDY
-A FORWARD -s 10.0.6.0/29 -d 10.0.7.0/24 -j DROP
-A FORWARD -s 10.0.7.0/24 -d 10.0.6.0/29 -j DROP
##PRINT MAIS / CHAMA
-A FORWARD -s 10.0.6.0/29 -d 10.0.8.0/27 -j DROP
-A FORWARD -s 10.0.8.0/27 -d 10.0.6.0/29 -j DROP
##PRINT MAIS / CHOPERIA
-A FORWARD -s 10.0.6.0/29 -d 10.0.9.0/29 -j DROP
-A FORWARD -s 10.0.9.0/29 -d 10.0.6.0/29 -j DROP
##PRINT MAIS / TRAXX
-A FORWARD -s 10.0.6.0/29 -d 10.0.10.0/24 -j DROP
-A FORWARD -s 10.0.10.0/24 -d 10.0.6.0/29 -j DROP
##CENTER KENNEDY / CHAMA
-A FORWARD -s 10.0.7.0/24 -d 10.0.8.0/27 -j DROP
-A FORWARD -s 10.0.8.0/27 -d 10.0.7.0/24 -j DROP
##CENTER KENNEDY / CHOPERIA
-A FORWARD -s 10.0.7.0/24 -d 10.0.9.0/29 -j DROP
-A FORWARD -s 10.0.9.0/29 -d 10.0.7.0/24 -j DROP
##CENTER KENNEDY / TRAXX
-A FORWARD -s 10.0.7.0/24 -d 10.0.10.0/24 -j DROP
-A FORWARD -s 10.0.10.0/24 -d 10.0.7.0/24 -j DROP
## CHAMA / CHOPERIA
-A FORWARD -s 10.0.8.0/27 -d 10.0.9.0/29 -j DROP
-A FORWARD -s 10.0.9.0/29 -d 10.0.8.0/27 -j DROP
## CHAMA / TRAXX
-A FORWARD -s 10.0.8.0/27 -d 10.0.10.0/24 -j DROP
-A FORWARD -s 10.0.10.0/24 -d 10.0.8.0/27 -j DROP
DEPOIS VIM SO COLOCANDO AS REGRAS QUE REALMENTE INTERESSA ENTRE ELAS TIPO..
ACESSO DE PORTA ENTRE HOSTS
-A INPUT -p tcp -i eth2 -s 10.0.6.2 --sport 3899 -d 10.0.7.8 --dport 3899 -j ACCEPT
Quando eu usava o REJECT ele gerava trafego !!! quando passei a usar o DROP ele matou esse trafego.
Espero ter ajudado!!!
Putz mano, devia ao menos ter mudado teus IPs neh? Edita esse troxo ai :P