O que usar DROP ou REJECT????

Caro colegas, eu estava lendo um tutorial sobre iptables, e neste tuturial é recomendado usar o alvo REJECT em vez de DROP, estava explicado que usando REJECT iria dificultar o reconhecimento do firewall em um eventual escaneio de portas, gostaria de saber a opinião de vocês, que tem mais experiência que eu.


Obrigado pela atenção.

[Danilo_Montagna]

na verdade nao vai dificultar... a segurança é a mesma.. a diferená é que para o REJECT é enviado um icmp do tipo 11 se nao me engano... avisando que o host esta desconhecido ou unracheable..

o DROP apenas rejeita o pacote e nao manda uma resposta ICMP ao host solicitante.. dando a impressao que o mesmo esta protegido por um firewall..

porem.. isso ae vai de cada um.. eu uso normalmente o DROP..

[mistymst]

Caro.. acho que voce leu errado... <IMG SRC="images/forum/icons/icon_smile.gif">

REJECT, rejeita o pacote dizendo se a porta esta aberta ou fechada. (dependo das flags que o TCP retorna)
DROP simplesmente nao responde nada para que mandou a requisao...

digamos que o cara mandou um SYN e o firewall recebeu o pacote. ele nao retorna nada. o cara fica que deu o portscan fica em bundas porque nao retorna nada, sem falar que DROP nao consome nada pois ele retorna nada <IMG SRC="images/forum/icons/icon_smile.gif"> e o REJECT ainda tem o trabalho de responder os pacotes <IMG SRC="images/forum/icons/icon_smile.gif">

bom, por exemplo o meu firewall em portscan, demora um ano para voltar o resultado e o pior ele mostra todas as portas hehe, entao fica meio dificio do cara simplesmente manjar o que aconteceu ou ou que realmente esta a aberto. vai requerer um pouco mais de pericia do cara.

[1c3m4n]

Nda disso!!! O DROP avisa que ele bloqueou...

[Danilo_Montagna]

como assim avisa..

rejeitar o pacote nao é a mesam coisa que avisar.. ele nao retorna nada para o client.. o pacote é descartado pelo firewall e a porta remota do host remoto é desconectada..

DROP = Rejeita o pacote e o processamento das regras daquele chain é concluído. Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e também pode ser especificado na politica padrão das regras do firewall ..

REJECT = Este é um módulo opcional que faz a mesma função do alvo DROP com a diferença de que uma mensagem ICMP do tipo "icmp-port-unreachable" é retornada para a máquina de origem. Pode ser usado como alvo somente nos chains da tabela filter.

O REJECT É um alvo interessante para bloqueio de portas TCP, pois em alguns casos da a impressão que a máquina não dispõe de um sistema de firewall (o alvo DROP causa uma parada de muito tempo em alguns portscanners e tentativas de conexão de serviços, revelando imediatamente o uso de um sistema de firewall pela máquina). O alvo REJECT vem dos tempos do ipchains e somente pode ser usado na tabela filter. Quando um pacote confere, ele é rejeitado com a mensagem ICMP do tipo "port unreachable", é possível especificar outro tipo de mensagem ICMP com a opção --reject-with tipo_icmp..


[ Esta mensagem foi editada por: Danilo_Montagna em 01-04-2003 10:52 ]

Obrigado Danilo_Montagna por não me desmentir, e eh este mesmo guia que eu estou estudando, jah deu para ter uma idéia das coisas, e mistymst, acho melhor vc ler mais, se não souber, não se meta a responder!!!!!!!!!!!!!!!

[marcosmamorim]

Anonimo,

Ele tentou te ajudar e vc ainda tira uma da cara dele, não é assim q se faz, e se ele estivesse certo? Vc falaria a mesma coisa para o Danilo?

O q vale é a intenção....

Desculpe o desabafo,


nada contra a vc ou a qualquer pessoal.

Um abraço,

Marcos Amorim

[mistymst]

do help do iptables

#man iptables

REJECT
This is used to send back an error packet in response to
the matched packet: otherwise it is equivalent to DROP.
This target is only valid in the INPUT, FORWARD and OUTPUT
chains, and user-defined chains which are only called from
those chains. Several options control the nature of the
error packet returned:


TARGETS
A firewall rule specifies criteria for a packet, and a
target. If the packet does not match, the next rule in
the chain is the examined; if it does match, then the next
rule is specified by the value of the target, which can be
the name of a user-defined chain or one of the special
values ACCEPT, DROP, QUEUE, or RETURN.

ACCEPT means to let the packet through. DROP means to
drop the packet on the floor. QUEUE means to pass the
packet to userspace (if supported by the kernel). RETURN
means stop traversing this chain and resume at the next
rule in the previous (calling) chain. If the end of a
built-in chain is reached or a rule in a built-in chain
with target RETURN is matched, the target specified by the
chain policy determines the fate of the packet.

Drop means to drop the packet on the floor

o que significa isso? Que eu saiba eh simplesmente dropar o pacote e nao retornar nada
e reject e ~send back an error packet~ .... alguem poderia me explicar isso?

[mistymst]

Ah sim, eh perfeito danilo, o REJECT retorna um erro com um icmp, no qual voce pode escolher
com --reject-with type

[Danilo_Montagna]

Isso ae significa que ele simplesmente descarta o pacote.. como dito acima..

se vc quiser uma traducao.. disso ae é mais ou menos assim..

DROP reconhece o pacote como descartado e joga ele fora.


======================================
Drop means to drop the packet on the floor

o que significa isso? Que eu saiba eh simplesmente dropar o pacote e nao retornar nada
e reject e ~send back an error packet~ .... alguem poderia me explicar isso?

[mistymst]

Perfeitamente, o que estou tentando justificar que o DROP nao da nenhum sinal de erro, nao retorna nada diferentemente do reject. e realmente eu tinha errado qdo falei que o reject retornava com tcp flags e sim ele retorna com icmps.

e obrigado marcos.

marcosamorim,

eu concordo com vc desde que seja mantido um certo respeito, a resposta dele, como vc deve ter lido foi a seguinte

"Caro.. acho que voce leu errado..."

se eu postei uma mensagem neste forum, eh pq tive uma duvida devida a uma leitura q eu fiz, se eu fosse ele, antes de responder como se fosse o dono da verdade, tentaria procurar os fundamentos da minha duvida, ao invez de ser prepotente, como vc pode ver, a discussao entre os dois ainda continuou!!!!!

[marcosmamorim]

Anonimo,

Eu tb quando li a resposta do Danilo tb naum entendi muito bem a resposta dele, acho q o mistymst pode naum ter entendido tb, naum quero julgar um ou outro, naum estou aqui para isso, agora a discursão se tornou muito interessante.

Conseguiu sanar sua duvida?

UM grande abraço para vc Anonimo,

Desculpe a minhas palavras.


Marcos Amorim