উত্তর:
একটি সাধারণ নিয়ম হিসাবে, যখন আপনি অপর প্রান্তটি বন্দরটি অ্যাক্সেসযোগ্য তা জানতে চাইলে REJECT ব্যবহার করুন 'হোস্টগুলিতে সংযোগের জন্য DROP ব্যবহার করুন আপনি লোকেরা দেখতে চান না।
সাধারণত, আপনার ল্যানের অভ্যন্তরের সংযোগের জন্য সমস্ত নিয়মগুলি বাতিল হওয়া উচিত। ইন্টারনেটের জন্য, নির্দিষ্ট সার্ভারগুলিতে পরিচয় বাদে ইন্টারনেট থেকে সংযোগগুলি সাধারণত ড্রপড হয়।
ডিআআরপি ব্যবহারের ফলে সংযোগটি একটি অনিবন্ধিত আইপি ঠিকানার মতো প্রদর্শিত হয়। স্ক্যানাররা এমন ঠিকানাগুলি স্ক্যান করা চালিয়ে যাওয়া না বেছে নিতে পারে যা অবরুদ্ধ থাকে। ফায়ারওয়ালে কোনও সংযোগ পুনর্নির্দেশের জন্য NAT ব্যবহার করা যেতে পারে, এটি একটি সুপরিচিত পরিষেবার অস্তিত্ব কোনও ঠিকানায় সার্ভারের অস্তিত্বকে অগত্যা নির্দেশ করে না।
এসএমটিপি পরিষেবা সরবরাহকারী কোনও ঠিকানায় পরিচয়টি পাস বা বাতিল করা উচিত। যাইহোক, এসএমটিপি সার্ভস দ্বারা আইডেন্ট লুক-আপ ব্যবহারের বাইরে চলে গেছে। চ্যাট প্রোটোকল রয়েছে যা একটি ওয়ার্কিং আইডেন্টিটি পরিষেবাতে নির্ভর করে।
সম্পাদনা: ডিআআরপি বিধি ব্যবহার করার সময়: - ইউডিপি প্যাকেটগুলি বাদ দেওয়া হবে এবং আচরণটি কোনও পরিষেবা ছাড়াই নিরপেক্ষভাবে বন্দরের সাথে সংযোগ স্থাপনের সমান হবে। - টিসিপি প্যাকেটগুলি একটি এসকে / আরএসটি ফিরিয়ে দেবে যা একই প্রতিক্রিয়া যা কোনও খোলার বন্দর এতে কোনও পরিষেবা না দিয়ে প্রতিক্রিয়া জানাবে। কিছু রাউটার প্রতিক্রিয়া জানাবে এবং সার্ভারগুলি ডাউন হয়ে যা তাদের পক্ষে ACK / RST করবে।
REJECT নিয়মগুলি ব্যবহার করার সময় একটি ICMP প্যাকেট প্রেরণ করা হয় যা বন্দরটি অনুপলব্ধ।
পার্থক্যটি হ'ল REJECT টার্গেট উত্সটিতে একটি প্রত্যাখাত প্রতিক্রিয়া প্রেরণ করে, যখন DROP লক্ষ্য কিছুই পাঠায় না।
এটি আইডেন্টিটি সার্ভিসের জন্য যেমন দরকারী হতে পারে। আপনি যদি REJECT ব্যবহার করেন তবে ক্লায়েন্টদের সময়সীমা অপেক্ষা করার দরকার নেই।
এটি সম্পর্কে আরও: http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html
সাধারণত, আপনি আক্রমণকারীদের থেকে নির্দিষ্ট বন্দরে প্রোব অগ্রাহ্য করতে চান , যার অর্থ আপনি 'সংযোগ প্রত্যাখ্যান' ফেরত পাঠাতে চান না mean 'সংযোগ প্রত্যাখ্যান' এর অর্থ: 'এখানে একটি সার্ভার রয়েছে', এবং সম্ভবত আরও তথ্য দেয়, যখন প্যাকেটটি ফেলে দেওয়া সফ্টওয়্যার সংস্করণ, সম্ভাব্য দুর্বলতা বা এমনকি কোনও সার্ভার আপনাকে আইপি শুনছে কিনা তা সম্পর্কে কোনও ধারণা দেয় না।
উপরে প্রত্যাখ্যানের পরিবর্তে DROP ব্যবহারের অন্যতম প্রধান কারণ।
আমি এখানে প্রচুর দ্বন্দ্বপূর্ণ উত্তর দেখতে পাচ্ছি এবং দেওয়া হয়েছে সঠিক কীওয়ার্ড সহ Google এ এটি প্রথম নিবন্ধ; এখানে সঠিক ব্যাখ্যা।
এটি সহজ:
প্যাকেটটি দিয়ে DROP কিছুই করে না। এটি কোনও হোস্টের কাছে ফরোয়ার্ড হয় না, উত্তর পাওয়া যায় না। আইপেটেবলের ম্যানপেজটি বলে যে এটি প্যাকেটটি মেঝেতে ফেলে দেয়, অর্থাত প্যাকেটটি দিয়ে এটি কিছুই করে না।
প্রত্যাখ্যান ড্রপের সাথে পৃথক হয় যে এটি কোনও প্যাকেট ফেরত পাঠায়, তবে উত্তরটি হ'ল কোনও সার্ভার আইপি-তে অবস্থিত, তবে শ্রোতা অবস্থায় পোর্ট নেই। আইপিটাবলগুলি টিসিপি বা ইউডিপির সাথে আইসিএমপি গন্তব্য পোর্টটি না পারা যায় এমন ক্ষেত্রে একটি আরএসটি / এসিকে প্রেরণ করবে।
আপনি যদি আপনার মেশিনের অস্তিত্ব পুরোপুরি গোপন করার চেষ্টা করেন -j DROP
তবে উপযুক্ত is উদাহরণস্বরূপ, আপনি এটি একটি কালো তালিকাভুক্তি প্রয়োগ করতে ব্যবহার করতে পারেন।
আপনি যদি কোনও বন্দরটি উন্মুক্ত রয়েছে এই বিষয়টি গোপন করার চেষ্টা করছেন, বন্দরটি খোলা না থাকলে আপনার যে আচরণটি ঘটেছিল তা নকল করা উচিত:
-p tcp -j REJECT --reject-with tcp-reset
-p udp -j REJECT --reject-with icmp-port-unreachable
যদি কোনও পোর্ট স্ক্যানার দেখতে পায় যে বেশিরভাগ বন্দর প্যাকেটগুলি ফেলে দিচ্ছে যখন বেশিরভাগ সেগুলি প্রত্যাখ্যান করে, এটি ধরে নিতে পারে যে বাদ দেওয়া প্যাকেটগুলি খোলা তবে লুকানো রয়েছে এমন পোর্টগুলিতে রয়েছে।
প্রচুর সঠিক উত্তর সত্ত্বেও, কেবল আমার দুটি সেন্ট:
নিষেধাজ্ঞার সিস্টেম (ফায়ারওয়াল, আইডিএস, ইত্যাদি) সম্পর্কিত বিধি সম্পর্কিত বিষয় সম্পর্কে আমার কাছে এখানে একটি সংক্ষিপ্ত পিসি এফডাব্লু.আইডিএস-ড্রপ-বনাম-প্রত্যাখ্যান ।
কিছুদিন:
DROP
সমস্ত বন্দর নিষিদ্ধ করা হলে, পুনরুদ্ধারকারী অনুপ্রবেশকারীদের জন্য ব্যবহার করা যেতে পারে (সুতরাং দেখে মনে হচ্ছে যে সার্ভারটি অনুপ্রবেশকারীদের দিকে ডাউন আছে)REJECT --reject-with tcp-reset
মাল্টি-পোর্ট নিষিদ্ধের জন্য সেরা পছন্দ, কারণ এটি বাস্তব বন্ধ বন্দর হিসাবে আচরণ করে বলে মনে হচ্ছেDROP
এবং REJECT
(ছাড়া tcp-reset
) অনুপ্রবেশকারীকে একটি "সিগন্যাল" দেবে যে কোনও কিছু অবরুদ্ধ করছে (যাতে এটি প্রয়োজনীয় তথ্য সরবরাহের আশায় "আক্রমণ" চালিয়ে যেতে উত্সাহিত করতে পারে) কিছু ক্ষেত্রে)হ্যাঁ, DROP ব্যবহার করা অর্থহীন। প্রত্যাখ্যান করুন।
এমনকি যখন নিয়মটি "DROP" বলছে তখনও সিস্টেমটি আগত এসওয়াইএনকে একটি টিসিপি আরএসটি / এসকে দিয়ে জবাব দেয় - এটি কোনও পরিষেবা চালু না থাকা পোর্টগুলির জন্য ডিফল্ট আচরণ। (tcpdump এট এটি লগ করে না))
কোনও পরিষেবা চলমান থাকলে, এসওয়াইএন টিসিপি এসওয়াইএন / এসিএকের সাথে দেখা হয়।
যেহেতু ডিআরওপি কোনও টিসিপি এসওয়াইএন / এসিএকে দিয়ে স্বাভাবিক হিসাবে সাড়া দেয় না, তবে পরিবর্তে আরএসটি / এসিসি দিয়ে, আপনার ড্রপ বিধিটি আপনার ফায়ারওয়ালটির বিজ্ঞাপন দেবে এবং পোর্ট-স্ক্যানাররা জানতে পারবে যে আপনি কোনও ফায়ারওয়াল করছেন এবং আশায় আপনাকে হাতুড়ি দিয়ে রাখতে পারে might আপনার ফায়ারওয়াল নিচে ধরার।
এটি এখন nmap উদাহরণস্বরূপ "বন্ধ" পরিবর্তে "ফিল্টারড" প্রতিবেদন করতে পারে:
$ nmap localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
53/tcp open domain
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds
$ iptables -I INPUT -p tcp --dport 1111 -j DROP
$ nmap localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
53/tcp open domain
80/tcp open http
1111/tcp filtered lmsocialserver
Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds
$ iptables -D INPUT 1
যেমন, কেবলমাত্র "অদৃশ্য" ফায়ারওয়ালিং সেটআপটি হ'ল যেখানে কোনও ডেডিকেটেড ডিভাইস আপনার ডিভাইসগুলির মধ্যে বসে এবং কেবল বেছে বেছে পোর্টগুলি ফরওয়ার্ড করে।
আপনি যদি সত্যিই বেসিক স্ক্যানারগুলির সাথে ঝামেলা করতে চান, আপনি টিসিপিটি সংযোগগুলি TARPIT করতে পারেন, এটি টিসিপি উইন্ডো 0 তে সেট করে যাতে সংযোগটি খোলার পরে কোনও তথ্য স্থানান্তরিত হতে না পারে, সংযোগটি বন্ধ করার অনুরোধগুলি উপেক্ষা করে, যার অর্থ স্ক্যানারকে অপেক্ষা করতে হবে সংযোগের মেয়াদ শেষ হওয়ার জন্য, যদি এটি নিশ্চিত হতে চায়। তবে আক্রমণকারীটির পক্ষে এটি সনাক্ত করা এবং তার সময়সীমাটি খুব সংক্ষিপ্ত করে তোলা তুচ্ছ।
সমস্ত বিষয় বিবেচিত, আপনি সম্ভবত কেবল প্রত্যাখ্যান - বা আপনার সার্ভার এবং ইন্টারনেটের মধ্যে একটি ডেডিকেটেড পোর্ট ফরওয়ার্ডিং ডিভাইসটি ব্যবহার করে সেরা best
অথবা আপনার ইন্টারনেট-মুখী মেশিনগুলিতে কেবল পরিষেবা চালানো যা ফায়ারওয়ালিংয়ের প্রয়োজন হয় না।
সাধারণত ওয়েব সার্ভারের জন্য REJECT সবচেয়ে ভাল, কারণ যে কোনও পরিষেবা এটির অ্যাক্সেস করার চেষ্টা করছে (সম্ভবত আরও প্রায়ই নয়, আপনি) দ্রুত প্রতিক্রিয়া পাবেন এবং ব্যবহারকারী বা অন্যান্য পরিষেবাদি কোনও নেটওয়ার্ক বিভ্রাট রয়েছে কিনা তা ভেবে অবাক হয়ে অপেক্ষা করা হবে না।
DROP
একটি জারি করবে SYN/ACK
? আমি আমার মেশিনে এটি কখনও দেখিনি।
DROP
একটি ফেরৎ SYN/ACK
। আমিও, কোনও সংস্করণের অধীনে এই আচরণটি দেখিনি iptables
। আপনার কাছে যদি এমন কোনও উত্স থাকে যা আপনার দাবিকে সমর্থন করে তবে এটি দেখার পক্ষে এটি সবচেয়ে কার্যকর হবে; অবশ্যই, আমি সবেমাত্র প্যাকেট ডাম্পগুলি করেছি আপনার দাবি সমর্থন করে না।