Utilizzando il firewall non complicato ufw, posso impostare porte/servizi da rifiutare e rifiutare.ufw Differenza del firewall Linux tra rifiuto e negazione
Ad esempio:
ufw deny www
ufw reject www
Qualcuno può spiegare a me la differenza tra i due approcci?
"deny" utilizza la destinazione DROP iptables, che ignora automaticamente i pacchetti in ingresso.
"reject" utilizza la destinazione iptables REJECT, che restituisce un pacchetto di errori al mittente del pacchetto rifiutato.
Dal ufw manual page:
A volte è auspicabile lasciare che il mittente sapere quando il traffico viene negato, piuttosto che semplicemente ignorarlo. In questi casi, utilizzare respingere anziché negare.
Dal punto di vista dell'utente/programma che sta tentando di connettersi al server:
"negare" manterrà il programma di attesa fino a quando i tempi di tentativo di connessione fuori, un po 'poco tempo dopo.
"reject" produrrà un messaggio "Connection refused" immediato e molto informativo.
EDIT:
Da un punto di vista della sicurezza "negano" è un po ' preferibile. Forzerà ogni connessione da un potenziale aggressore al timeout, rallentando così il sondaggio del server.
Gli aggressori esperti e/o determinati non saranno realmente interessati: sono generalmente pazienti e ci sono diversi modi per affrontare il rallentamento, comunque. Tuttavia, potrebbe scoraggiare l'occasionale aspirante che non si è nemmeno preso la briga di leggere la pagina di manuale nmap.
"deny" salverà anche un po 'di banda sull'uplink non inviando il pacchetto di errore. Ciò potrebbe essere importante per le connessioni di rete asimmetriche in cui un attacco DoS potrebbe semplicemente saturare il collegamento in salita, solitamente più stretto, con pacchetti di errore.
D'altra parte, è un po 'più educato far sapere alle persone che si stanno rifiutando le loro connessioni. Una connessione rifiutata consente alle persone di sapere che è molto probabilmente una decisione politica permanente, piuttosto che ad es. un problema di rete a breve termine.
Il rallentamento non è in realtà il principale vantaggio di sicurezza di DROP. Piuttosto è il fatto che l'attaccante non può dire che c'è qualche servizio in esecuzione. Ciò significa che gli aggressori che stanno eseguendo scansioni di grandi gamme di indirizzi IP per le porte aperte passeranno probabilmente dal tuo se utilizzi DROP, mentre se REJECT diventi un obiettivo per ulteriori indagini sulla vulnerabilità sulle porte applicabili, perché hai dato via che qualcosa sta ascoltando. – JBentley