Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Caro colegas, eu estava lendo um tutorial sobre iptables, e neste tuturial é recomendado usar o alvo REJECT em vez de DROP, estava explicado que usando REJECT iria dificultar o reconhecimento do firewall em um eventual escaneio de portas, gostaria de saber a opinião de vocês, que tem mais experiência que eu.


    Obrigado pela atenção.

  2. #2
    Danilo_Montagna
    na verdade nao vai dificultar... a segurança é a mesma.. a diferená é que para o REJECT é enviado um icmp do tipo 11 se nao me engano... avisando que o host esta desconhecido ou unracheable..

    o DROP apenas rejeita o pacote e nao manda uma resposta ICMP ao host solicitante.. dando a impressao que o mesmo esta protegido por um firewall..

    porem.. isso ae vai de cada um.. eu uso normalmente o DROP..



  3. Caro.. acho que voce leu errado... <IMG SRC="images/forum/icons/icon_smile.gif">

    REJECT, rejeita o pacote dizendo se a porta esta aberta ou fechada. (dependo das flags que o TCP retorna)
    DROP simplesmente nao responde nada para que mandou a requisao...

    digamos que o cara mandou um SYN e o firewall recebeu o pacote. ele nao retorna nada. o cara fica que deu o portscan fica em bundas porque nao retorna nada, sem falar que DROP nao consome nada pois ele retorna nada <IMG SRC="images/forum/icons/icon_smile.gif"> e o REJECT ainda tem o trabalho de responder os pacotes <IMG SRC="images/forum/icons/icon_smile.gif">

    bom, por exemplo o meu firewall em portscan, demora um ano para voltar o resultado e o pior ele mostra todas as portas hehe, entao fica meio dificio do cara simplesmente manjar o que aconteceu ou ou que realmente esta a aberto. vai requerer um pouco mais de pericia do cara.

  4. Nda disso!!! O DROP avisa que ele bloqueou...



  5. #5
    Danilo_Montagna
    como assim avisa..

    rejeitar o pacote nao é a mesam coisa que avisar.. ele nao retorna nada para o client.. o pacote é descartado pelo firewall e a porta remota do host remoto é desconectada..

    DROP = Rejeita o pacote e o processamento das regras daquele chain é concluído. Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e também pode ser especificado na politica padrão das regras do firewall ..

    REJECT = Este é um módulo opcional que faz a mesma função do alvo DROP com a diferença de que uma mensagem ICMP do tipo "icmp-port-unreachable" é retornada para a máquina de origem. Pode ser usado como alvo somente nos chains da tabela filter.

    O REJECT É um alvo interessante para bloqueio de portas TCP, pois em alguns casos da a impressão que a máquina não dispõe de um sistema de firewall (o alvo DROP causa uma parada de muito tempo em alguns portscanners e tentativas de conexão de serviços, revelando imediatamente o uso de um sistema de firewall pela máquina). O alvo REJECT vem dos tempos do ipchains e somente pode ser usado na tabela filter. Quando um pacote confere, ele é rejeitado com a mensagem ICMP do tipo "port unreachable", é possível especificar outro tipo de mensagem ICMP com a opção --reject-with tipo_icmp..


    [ Esta mensagem foi editada por: Danilo_Montagna em 01-04-2003 10:52 ]






Tópicos Similares

  1. O que e usar 12volts ou 24volts?
    Por weslleyjh no fórum Redes
    Respostas: 56
    Último Post: 08-04-2014, 13:54
  2. Respostas: 27
    Último Post: 28-07-2013, 10:25
  3. Respostas: 9
    Último Post: 02-08-2012, 10:01
  4. Respostas: 4
    Último Post: 29-07-2012, 21:30
  5. o que usar senao emp-8602 ou dlink ag530
    Por voiplink no fórum Redes
    Respostas: 3
    Último Post: 19-08-2008, 07:51

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L