Различия

Здесь показаны различия между двумя версиями данной страницы.

@@ Строка 1: / Строка 1: @@
+====== REJECT ======
+~~Title: iptables что использовать reject или drop для блокировки ~~
+{{htmlmetatags>
+metatag-description=(REJECT сбрасывает соединение и отправляет в ответ сообщение. DROP — закрывает соединение и не отправляет ничего в ответ отправителю.)
+}}
+Что лучше использовать для блокировки: REJECT или DROP?
+DROP — закрывает соединение и не отправляет ничего в ответ отправителю, получается «мертвое» соединение, которое потом убивается по таймауту. Нужно учесть что при сканировании закрытых портов, они будут помечаться как filtered.
+REJECT — сбрасывает соединение и отправляет в ответ сообщение, указанное в опции —reject-with. При сканировании (если установлено —reject-with icmp-port-unreachable) порт будет казаться закрытым, в отличии от DROP.
+===== Примеры iptables reject =====
+Действие REJECT в [[iptables]] имеет опцию --reject-with.
+<file>
+iptables -A INPUT -s 10.26.95.20 -j REJECT --reject-with tcp-reset
+iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
+iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
+iptables -A INPUT -j REJECT --reject-with icmp-proto-unreach
+</file>
+У опции --reject-with есть следующие аргументы:
+  * icmp-net-unreachable — сеть недоступна;
+  * icmp-host-unreachable — узел недоступен;
+  * icmp-port-unreachable — порт недоступен;
+  * icmp-proto-unreahable — неподдерживаемый протокол;
+  * icmp-net-prohibited — сеть запрещена;
+  * icmp-host-prohibited — узел запрещен;
+  * tcp-reset - отправляет [[tcp?s[]=rst#chto_takoe_tcp_rst|RST]]- сообщения отправителю. TCP RST пакеты используются для закрытия TCP соединений. Желательно использовать этот метод вместо вышеуказанных [[ICMP]] сообщений.
+По умолчанию будет передано сообщение port-unreachable.

АйТи бубен

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы