Linux

iptables:掃描器是否知道您是否丟棄了數據包?

  • April 16, 2014

我知道REJECTDROP鍊是如何工作的。但是,正如我在使用 iptables 時在此處閱讀的 REJECT vs DROP 時,使用者 Dagelf 說伺服器仍然以TCP SYN/ACK.

當防火牆使用 DROP 時,掃描器是否知道數據包被丟棄?

如果您拒絕該數據包,您將使用 RST 數據包回复傳入的 SYN,因此掃描器知道該埠已關閉(通過拒絕,或者因為該埠上沒有執行任何服務)。

如果您丟棄數據包,掃描器會等待,一段時間後(超時),它會假定數據包已被丟棄(儘管它們可能在傳輸過程中失去,或者遠端的機器可能已關閉,或者其他任何可能發生,這將觸發無回复的情況)。

引用自:https://serverfault.com/questions/589409