27-05-2014, 12:07
Zastanawiam się jaką opcję wybrać w ustawieniach firewalla, deny, czy reject? Jaka jest różnica między nimi i jakie są efekty działań każdej z nich?
27-05-2014, 12:07
27-05-2014, 12:26
Reject - aktywnie odpowiada próbującemu, że sorry, tutaj ruch jest zablokowany.
Deny - pakiet przychodzący od razu jest wywalany do kosza, a druga strona nie dostaje żadnej odpowiedzi i wisi na timeoutcie - wygląda to tak, jakby pakiety ginęły w czarnej dziurze i nie wiadomo z punktu widzenia nadawcy, czy coś tam jest, czy nie.
Decyzja zależy od polityki bezpieczeństwa i celu ochrony.
Deny - pakiet przychodzący od razu jest wywalany do kosza, a druga strona nie dostaje żadnej odpowiedzi i wisi na timeoutcie - wygląda to tak, jakby pakiety ginęły w czarnej dziurze i nie wiadomo z punktu widzenia nadawcy, czy coś tam jest, czy nie.
Decyzja zależy od polityki bezpieczeństwa i celu ochrony.
27-05-2014, 12:38
W laptopie z Kubuntu, która wersja jest korzystniejsza? Korzystanie z Hotspotów publicznych, przeglądanie internetu.
27-05-2014, 13:28
Dla przeciętnego użytkownika - bez znaczenia.
13-06-2014, 20:03
A czy w ogóle włączać Firewalla? Spotkałem się ze stwierdzeniem, że nie ma potrzeby, zwłaszcza na Linuksie. Na Ubuntu po instalacji Firewall jest wyłączony i trzeba samemu włączyć. Są sytuacje, w których należy włączyć i takie, kiedy można wyłączyć?
16-04-2015, 10:37
„Reject: The system will deny entry traffic to a port and will inform the requesting for connection system that it has been rejected.” – oznacza, że informuje nadawcę o odrzuceniu połączenia?
https://help.ubuntu.com/community/Gufw
https://help.ubuntu.com/community/Gufw
16-04-2015, 10:54
Tak to można przetłumaczyć.
16-04-2015, 11:00
Wygląda na to, że wyżej pomyliłem Reject z Deny. W iptables używało się dwóch metod: Reject i Drop. Widzę, że dla ludzi zamiast drop (wyrzuć pakiet do kosza) zrobili Deny i zrobiło się mniej jasno - swój post wyżej poprawiłem.
16-04-2015, 12:45
Jest jakaś prosta metoda, żeby sprawdzić jak to działa?
16-04-2015, 18:31
Musisz mieć taką maszynę, w której ustawiłeś sobie na którymś porcie DENY (powiedzmy 6677), a na innym REJECT (7788) - na samych tych portach nie musi działać żadna faktyczna usługa, jeżeli testujemy odrzucanie pakietów.
Robisz potem:
i dostaniesz dla Reject: natychmiast odpowiedź, że host odmawia połączenia.
dla
będzie DROP, a więc będziesz czekał, a potem po timeoutcie - wyskoczy informacja, że host nie odpowiedział na żądanie połączenia (host może być wyłączony).
Robisz potem:
Kod:
telnet adres.maszyny.testowej 6677dla
Kod:
telnet adres.maszyny.testowej 7788