Linux

使用 iptables 時 REJECT 與 DROP

  • September 20, 2018

我有什麼理由想要擁有

iptables -A INPUT -j REJECT

代替

iptables -A INPUT -j DROP

作為一般規則,當您希望另一端知道埠無法訪問時使用 REJECT ‘使用 DROP 連接到您不希望人們看到的主機。

通常,LAN 內的所有連接規則都應使用 REJECT。對於 Internet,除了某些伺服器上的 ident 之外,來自 Internet 的連接通常會被丟棄。

使用 DROP 使連接看起來像是一個未佔用的 IP 地址。掃描器可能會選擇不繼續掃描看起來未被佔用的地址。鑑於 NAT 可用於重定向防火牆上的連接,眾所周知的服務的存在並不一定表明地址上存在伺服器。

任何提供 SMTP 服務的地址都應通過或拒絕 Ident。但是,SMTP 服務對 Ident 查找的使用已不再使用。有些聊天協議也依賴於有效的身份服務。

編輯:使用 DROP 規則時: - UDP 數據包將被丟棄,其行為將與連接到沒有服務的無防火牆埠相同。- TCP 數據包將返回一個 ACK/RST,這與沒有服務的開放埠的響應相同。一些路由器將代表已關閉​​的伺服器響應和 ACK/RST。

使用 REJECT 規則時,會發送一個 ICMP 數據包,指示埠不可用。

引用自:https://serverfault.com/questions/157375