Iptables ব্যবহার করার সময় DROP বনাম প্রত্যাখ্যান করুন

আমি চাইব এমন কোনও কারণ আছে কি?

iptables -A INPUT -j REJECT

পরিবর্তে

iptables -A INPUT -j DROP

একটি সাধারণ নিয়ম হিসাবে, যখন আপনি অপর প্রান্তটি বন্দরটি অ্যাক্সেসযোগ্য তা জানতে চাইলে REJECT ব্যবহার করুন 'হোস্টগুলিতে সংযোগের জন্য DROP ব্যবহার করুন আপনি লোকেরা দেখতে চান না।

সাধারণত, আপনার ল্যানের অভ্যন্তরের সংযোগের জন্য সমস্ত নিয়মগুলি বাতিল হওয়া উচিত। ইন্টারনেটের জন্য, নির্দিষ্ট সার্ভারগুলিতে পরিচয় বাদে ইন্টারনেট থেকে সংযোগগুলি সাধারণত ড্রপড হয়।

ডিআআরপি ব্যবহারের ফলে সংযোগটি একটি অনিবন্ধিত আইপি ঠিকানার মতো প্রদর্শিত হয়। স্ক্যানাররা এমন ঠিকানাগুলি স্ক্যান করা চালিয়ে যাওয়া না বেছে নিতে পারে যা অবরুদ্ধ থাকে। ফায়ারওয়ালে কোনও সংযোগ পুনর্নির্দেশের জন্য NAT ব্যবহার করা যেতে পারে, এটি একটি সুপরিচিত পরিষেবার অস্তিত্ব কোনও ঠিকানায় সার্ভারের অস্তিত্বকে অগত্যা নির্দেশ করে না।

এসএমটিপি পরিষেবা সরবরাহকারী কোনও ঠিকানায় পরিচয়টি পাস বা বাতিল করা উচিত। যাইহোক, এসএমটিপি সার্ভস দ্বারা আইডেন্ট লুক-আপ ব্যবহারের বাইরে চলে গেছে। চ্যাট প্রোটোকল রয়েছে যা একটি ওয়ার্কিং আইডেন্টিটি পরিষেবাতে নির্ভর করে।

সম্পাদনা: ডিআআরপি বিধি ব্যবহার করার সময়: - ইউডিপি প্যাকেটগুলি বাদ দেওয়া হবে এবং আচরণটি কোনও পরিষেবা ছাড়াই নিরপেক্ষভাবে বন্দরের সাথে সংযোগ স্থাপনের সমান হবে। - টিসিপি প্যাকেটগুলি একটি এসকে / আরএসটি ফিরিয়ে দেবে যা একই প্রতিক্রিয়া যা কোনও খোলার বন্দর এতে কোনও পরিষেবা না দিয়ে প্রতিক্রিয়া জানাবে। কিছু রাউটার প্রতিক্রিয়া জানাবে এবং সার্ভারগুলি ডাউন হয়ে যা তাদের পক্ষে ACK / RST করবে।

REJECT নিয়মগুলি ব্যবহার করার সময় একটি ICMP প্যাকেট প্রেরণ করা হয় যা বন্দরটি অনুপলব্ধ।

পার্থক্যটি হ'ল REJECT টার্গেট উত্সটিতে একটি প্রত্যাখাত প্রতিক্রিয়া প্রেরণ করে, যখন DROP লক্ষ্য কিছুই পাঠায় না।

এটি আইডেন্টিটি সার্ভিসের জন্য যেমন দরকারী হতে পারে। আপনি যদি REJECT ব্যবহার করেন তবে ক্লায়েন্টদের সময়সীমা অপেক্ষা করার দরকার নেই।

এটি সম্পর্কে আরও: http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html

সাধারণত, আপনি আক্রমণকারীদের থেকে নির্দিষ্ট বন্দরে প্রোব অগ্রাহ্য করতে চান , যার অর্থ আপনি 'সংযোগ প্রত্যাখ্যান' ফেরত পাঠাতে চান না mean 'সংযোগ প্রত্যাখ্যান' এর অর্থ: 'এখানে একটি সার্ভার রয়েছে', এবং সম্ভবত আরও তথ্য দেয়, যখন প্যাকেটটি ফেলে দেওয়া সফ্টওয়্যার সংস্করণ, সম্ভাব্য দুর্বলতা বা এমনকি কোনও সার্ভার আপনাকে আইপি শুনছে কিনা তা সম্পর্কে কোনও ধারণা দেয় না।

উপরে প্রত্যাখ্যানের পরিবর্তে DROP ব্যবহারের অন্যতম প্রধান কারণ।

আমি এখানে প্রচুর দ্বন্দ্বপূর্ণ উত্তর দেখতে পাচ্ছি এবং দেওয়া হয়েছে সঠিক কীওয়ার্ড সহ Google এ এটি প্রথম নিবন্ধ; এখানে সঠিক ব্যাখ্যা।
এটি সহজ:

প্যাকেটটি দিয়ে DROP কিছুই করে না। এটি কোনও হোস্টের কাছে ফরোয়ার্ড হয় না, উত্তর পাওয়া যায় না। আইপেটেবলের ম্যানপেজটি বলে যে এটি প্যাকেটটি মেঝেতে ফেলে দেয়, অর্থাত প্যাকেটটি দিয়ে এটি কিছুই করে না।

প্রত্যাখ্যান ড্রপের সাথে পৃথক হয় যে এটি কোনও প্যাকেট ফেরত পাঠায়, তবে উত্তরটি হ'ল কোনও সার্ভার আইপি-তে অবস্থিত, তবে শ্রোতা অবস্থায় পোর্ট নেই। আইপিটাবলগুলি টিসিপি বা ইউডিপির সাথে আইসিএমপি গন্তব্য পোর্টটি না পারা যায় এমন ক্ষেত্রে একটি আরএসটি / এসিকে প্রেরণ করবে।

আপনি যদি আপনার মেশিনের অস্তিত্ব পুরোপুরি গোপন করার চেষ্টা করেন -j DROPতবে উপযুক্ত is উদাহরণস্বরূপ, আপনি এটি একটি কালো তালিকাভুক্তি প্রয়োগ করতে ব্যবহার করতে পারেন।

আপনি যদি কোনও বন্দরটি উন্মুক্ত রয়েছে এই বিষয়টি গোপন করার চেষ্টা করছেন, বন্দরটি খোলা না থাকলে আপনার যে আচরণটি ঘটেছিল তা নকল করা উচিত:

• বিভিন্ন TCP: -p tcp -j REJECT --reject-with tcp-reset
• এর ফলে UDP: -p udp -j REJECT --reject-with icmp-port-unreachable

যদি কোনও পোর্ট স্ক্যানার দেখতে পায় যে বেশিরভাগ বন্দর প্যাকেটগুলি ফেলে দিচ্ছে যখন বেশিরভাগ সেগুলি প্রত্যাখ্যান করে, এটি ধরে নিতে পারে যে বাদ দেওয়া প্যাকেটগুলি খোলা তবে লুকানো রয়েছে এমন পোর্টগুলিতে রয়েছে।

প্রচুর সঠিক উত্তর সত্ত্বেও, কেবল আমার দুটি সেন্ট:

নিষেধাজ্ঞার সিস্টেম (ফায়ারওয়াল, আইডিএস, ইত্যাদি) সম্পর্কিত বিধি সম্পর্কিত বিষয় সম্পর্কে আমার কাছে এখানে একটি সংক্ষিপ্ত পিসি এফডাব্লু.আইডিএস-ড্রপ-বনাম-প্রত্যাখ্যান ।

কিছুদিন:

• DROP সমস্ত বন্দর নিষিদ্ধ করা হলে, পুনরুদ্ধারকারী অনুপ্রবেশকারীদের জন্য ব্যবহার করা যেতে পারে (সুতরাং দেখে মনে হচ্ছে যে সার্ভারটি অনুপ্রবেশকারীদের দিকে ডাউন আছে)
• REJECT --reject-with tcp-reset মাল্টি-পোর্ট নিষিদ্ধের জন্য সেরা পছন্দ, কারণ এটি বাস্তব বন্ধ বন্দর হিসাবে আচরণ করে বলে মনে হচ্ছে
• যদি কিছু বন্দর উত্তর দিচ্ছে (অনুপ্রবেশকারী জানে যে হোস্ট বেঁচে আছে), DROPএবং REJECT(ছাড়া tcp-reset) অনুপ্রবেশকারীকে একটি "সিগন্যাল" দেবে যে কোনও কিছু অবরুদ্ধ করছে (যাতে এটি প্রয়োজনীয় তথ্য সরবরাহের আশায় "আক্রমণ" চালিয়ে যেতে উত্সাহিত করতে পারে) কিছু ক্ষেত্রে)

হ্যাঁ, DROP ব্যবহার করা অর্থহীন। প্রত্যাখ্যান করুন।

এমনকি যখন নিয়মটি "DROP" বলছে তখনও সিস্টেমটি আগত এসওয়াইএনকে একটি টিসিপি আরএসটি / এসকে দিয়ে জবাব দেয় - এটি কোনও পরিষেবা চালু না থাকা পোর্টগুলির জন্য ডিফল্ট আচরণ। (tcpdump এট এটি লগ করে না))

কোনও পরিষেবা চলমান থাকলে, এসওয়াইএন টিসিপি এসওয়াইএন / এসিএকের সাথে দেখা হয়।

যেহেতু ডিআরওপি কোনও টিসিপি এসওয়াইএন / এসিএকে দিয়ে স্বাভাবিক হিসাবে সাড়া দেয় না, তবে পরিবর্তে আরএসটি / এসিসি দিয়ে, আপনার ড্রপ বিধিটি আপনার ফায়ারওয়ালটির বিজ্ঞাপন দেবে এবং পোর্ট-স্ক্যানাররা জানতে পারবে যে আপনি কোনও ফায়ারওয়াল করছেন এবং আশায় আপনাকে হাতুড়ি দিয়ে রাখতে পারে might আপনার ফায়ারওয়াল নিচে ধরার।

এটি এখন nmap উদাহরণস্বরূপ "বন্ধ" পরিবর্তে "ফিল্টারড" প্রতিবেদন করতে পারে:

$ nmap localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

$ iptables -I INPUT -p tcp --dport 1111 -j DROP
$ nmap localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http
1111/tcp filtered lmsocialserver

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

$ iptables -D INPUT 1

যেমন, কেবলমাত্র "অদৃশ্য" ফায়ারওয়ালিং সেটআপটি হ'ল যেখানে কোনও ডেডিকেটেড ডিভাইস আপনার ডিভাইসগুলির মধ্যে বসে এবং কেবল বেছে বেছে পোর্টগুলি ফরওয়ার্ড করে।

আপনি যদি সত্যিই বেসিক স্ক্যানারগুলির সাথে ঝামেলা করতে চান, আপনি টিসিপিটি সংযোগগুলি TARPIT করতে পারেন, এটি টিসিপি উইন্ডো 0 তে সেট করে যাতে সংযোগটি খোলার পরে কোনও তথ্য স্থানান্তরিত হতে না পারে, সংযোগটি বন্ধ করার অনুরোধগুলি উপেক্ষা করে, যার অর্থ স্ক্যানারকে অপেক্ষা করতে হবে সংযোগের মেয়াদ শেষ হওয়ার জন্য, যদি এটি নিশ্চিত হতে চায়। তবে আক্রমণকারীটির পক্ষে এটি সনাক্ত করা এবং তার সময়সীমাটি খুব সংক্ষিপ্ত করে তোলা তুচ্ছ।

সমস্ত বিষয় বিবেচিত, আপনি সম্ভবত কেবল প্রত্যাখ্যান - বা আপনার সার্ভার এবং ইন্টারনেটের মধ্যে একটি ডেডিকেটেড পোর্ট ফরওয়ার্ডিং ডিভাইসটি ব্যবহার করে সেরা best

অথবা আপনার ইন্টারনেট-মুখী মেশিনগুলিতে কেবল পরিষেবা চালানো যা ফায়ারওয়ালিংয়ের প্রয়োজন হয় না।

সাধারণত ওয়েব সার্ভারের জন্য REJECT সবচেয়ে ভাল, কারণ যে কোনও পরিষেবা এটির অ্যাক্সেস করার চেষ্টা করছে (সম্ভবত আরও প্রায়ই নয়, আপনি) দ্রুত প্রতিক্রিয়া পাবেন এবং ব্যবহারকারী বা অন্যান্য পরিষেবাদি কোনও নেটওয়ার্ক বিভ্রাট রয়েছে কিনা তা ভেবে অবাক হয়ে অপেক্ষা করা হবে না।