+ Responder ao Tópico



  1. #1

    Padrão Diferenca entre o DROP e o REJECT no IPTABLES

    Qual a diferença na pratica entre o DROP e o REJECT ?
    Como decidir qual usar ? pq ? onde afeta ?

  2. #2

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    cara..

    a diferença é basicamente isso:

    REJECT: retorna como porta não encontrada

    DROP: retorna acesso negado

    agora qual a vantagem de usar um ou o outro não me recordo muito bem, e até onde lembro o REJECT não é usado em todas as tabelas..

    valew

  3. #3
    D4rk_Sl4ck
    Visitante

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    Citação Postado originalmente por lucianogf
    cara..

    a diferença é basicamente isso:

    REJECT: retorna como porta não encontrada

    DROP: retorna acesso negado

    agora qual a vantagem de usar um ou o outro não me recordo muito bem, e até onde lembro o REJECT não é usado em todas as tabelas..

    valew

    Cara, eu acredito ter havido um pequeno engano quanto ao DROP.

    O DROP não gera
    nenhuma resposta para quem mandou o pedido, simplesmente descarta
    o pacote e pronto.
    Bom, acredito ser melhor usar o DROP em virtude de gerar menos
    overhead para o firewall e também tentar minimizar as chances de ter
    um ataque brute-force, já que o REJECT ainda se preocupa em mandar
    um pacote dizendo que o host está unreacheable.

  4. #4

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    Valew!! e isso mesmo fiz os teste!!

  5. #5

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    Citação Postado originalmente por helio_traxx
    Valew!! e isso mesmo fiz os teste!!
    a eh? legal
    passa ai pro pessoal oq vc fez pra testar isso, vai ser util pra mta gente

  6. #6

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    peguem la!!

    a situacao foi a seguinte eu tenho varias sub-redes (varios setores) e queria restringir o acesso entre eles!! veja ai!
    eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:B00:F9:6C:89
    inet end.: 200.241.108.150 Bcast:200.241.108.191 Masc:255.255.255.192
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:831909 errors:0 dropped:0 overruns:0 frame:0
    TX packets:797848 errors:0 dropped:0 overruns:1 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:466162203 (444.5 Mb) TX bytes:141928414 (135.3 Mb)
    IRQ:11 Endereço de E/S:0xecc0 Memória:fe102000-fe102038

    eth1 Encapsulamento do Link: Ethernet Endereço de HW 00:E0:7D:FB:57:74
    inet end.: 10.0.5.6 Bcast:10.0.5.7 Masc:255.255.255.248
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:173583 errors:0 dropped:0 overruns:0 frame:0
    TX packets:173317 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:21436050 (20.4 Mb) TX bytes:165914330 (158.2 Mb)
    IRQ:10 Endereço de E/S:0xe800

    eth2 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:11:3F:B4
    inet end.: 10.0.6.6 Bcast:10.0.6.7 Masc:255.255.255.248
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:165781 errors:0 dropped:0 overruns:0 frame:0
    TX packets:174090 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:29535602 (28.1 Mb) TX bytes:136597919 (130.2 Mb)
    IRQ:11 Endereço de E/S:0xe000

    eth3 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:11:3F:50
    inet end.: 10.0.7.254 Bcast:10.0.7.255 Masc:255.255.255.0
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:9761 errors:0 dropped:0 overruns:0 frame:0
    TX packets:12583 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:1225727 (1.1 Mb) TX bytes:13499281 (12.8 Mb)
    IRQ:10 Endereço de E/S:0x6c00

    eth4 Encapsulamento do Link: Ethernet Endereço de HW 00:E0:7D:AB:3C:58
    inet end.: 10.0.8.30 Bcast:10.0.8.31 Masc:255.255.255.224
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:363602 errors:0 dropped:0 overruns:0 frame:0
    TX packets:319390 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:79519369 (75.8 Mb) TX bytes:98942104 (94.3 Mb)
    IRQ:11 Endereço de E/S:0x8800

    eth5 Encapsulamento do Link: Ethernet Endereço de HW 00:30:4F:1F:2F:0C
    inet end.: 10.0.9.6 Bcast:10.0.9.7 Masc:255.255.255.248
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:14788 errors:0 dropped:0 overruns:0 frame:0
    TX packets:11323 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:2007641 (1.9 Mb) TX bytes:4879862 (4.6 Mb)
    IRQ:10 Endereço de E/S:0xa400

    eth6 Encapsulamento do Link: Ethernet Endereço de HW 00:A1:B0:09:8F:5F
    inet end.: 10.0.10.254 Bcast:10.0.10.255 Masc:255.255.255.0
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:154530 errors:0 dropped:0 overruns:0 frame:0
    TX packets:32938 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:100
    RX bytes:12482343 (11.9 Mb) TX bytes:24121857 (23.0 Mb)
    IRQ:11 Endereço de E/S:0xc000

    Primeira Regra
    #BLOQUEIO DE TRAFEGO ENTRE SUB-REDES

    ##CIA DA ARTE / PRINT MAIS
    -A FORWARD -s 10.0.5.0/29 -d 10.0.6.0/29 -j DROP
    -A FORWARD -s 10.0.6.0/29 -d 10.0.5.0/29 -j DROP
    ##CIA DA ARTE / CENTER KENNEDY
    -A FORWARD -s 10.0.5.0/29 -d 10.0.7.0/24 -j DROP
    -A FORWARD -s 10.0.7.0/24 -d 10.0.5.0/29 -j DROP
    ##CIA DA ARTE / CHAMA
    -A FORWARD -s 10.0.5.0/29 -d 10.0.8.0/27 -j DROP
    -A FORWARD -s 10.0.8.0/27 -d 10.0.5.0/29 -j DROP
    ##CIA DA ARTE / CHOPERIA
    -A FORWARD -s 10.0.5.0/29 -d 10.0.9.0/29 -j DROP
    -A FORWARD -s 10.0.9.0/29 -d 10.0.5.0/29 -j DROP
    ##CIA DA ARTE / TRAXX
    -A FORWARD -s 10.0.8.0/27 -d 10.0.5.0/29 -j DROP
    -A FORWARD -s 10.0.5.0/29 -d 10.0.8.0/27 -j DROP
    ##PRINT MAIS / CENTER KENNEDY
    -A FORWARD -s 10.0.6.0/29 -d 10.0.7.0/24 -j DROP
    -A FORWARD -s 10.0.7.0/24 -d 10.0.6.0/29 -j DROP
    ##PRINT MAIS / CHAMA
    -A FORWARD -s 10.0.6.0/29 -d 10.0.8.0/27 -j DROP
    -A FORWARD -s 10.0.8.0/27 -d 10.0.6.0/29 -j DROP
    ##PRINT MAIS / CHOPERIA
    -A FORWARD -s 10.0.6.0/29 -d 10.0.9.0/29 -j DROP
    -A FORWARD -s 10.0.9.0/29 -d 10.0.6.0/29 -j DROP
    ##PRINT MAIS / TRAXX
    -A FORWARD -s 10.0.6.0/29 -d 10.0.10.0/24 -j DROP
    -A FORWARD -s 10.0.10.0/24 -d 10.0.6.0/29 -j DROP
    ##CENTER KENNEDY / CHAMA
    -A FORWARD -s 10.0.7.0/24 -d 10.0.8.0/27 -j DROP
    -A FORWARD -s 10.0.8.0/27 -d 10.0.7.0/24 -j DROP
    ##CENTER KENNEDY / CHOPERIA
    -A FORWARD -s 10.0.7.0/24 -d 10.0.9.0/29 -j DROP
    -A FORWARD -s 10.0.9.0/29 -d 10.0.7.0/24 -j DROP
    ##CENTER KENNEDY / TRAXX
    -A FORWARD -s 10.0.7.0/24 -d 10.0.10.0/24 -j DROP
    -A FORWARD -s 10.0.10.0/24 -d 10.0.7.0/24 -j DROP
    ## CHAMA / CHOPERIA
    -A FORWARD -s 10.0.8.0/27 -d 10.0.9.0/29 -j DROP
    -A FORWARD -s 10.0.9.0/29 -d 10.0.8.0/27 -j DROP
    ## CHAMA / TRAXX
    -A FORWARD -s 10.0.8.0/27 -d 10.0.10.0/24 -j DROP
    -A FORWARD -s 10.0.10.0/24 -d 10.0.8.0/27 -j DROP

    DEPOIS VIM SO COLOCANDO AS REGRAS QUE REALMENTE INTERESSA ENTRE ELAS TIPO..

    ACESSO DE PORTA ENTRE HOSTS
    -A INPUT -p tcp -i eth2 -s 10.0.6.2 --sport 3899 -d 10.0.7.8 --dport 3899 -j ACCEPT

    Quando eu usava o REJECT ele gerava trafego !!! quando passei a usar o DROP ele matou esse trafego.

    Espero ter ajudado!!!

  7. #7

    Padrão Re: Diferenca entre o DROP e o REJECT no IPTABLES

    Putz mano, devia ao menos ter mudado teus IPs neh? Edita esse troxo ai :P