firewall DROP vs REJECT :: Hinnavaatluse Foorumid

napoleon · Unknown virus liitunud: 08.12.2008

Ei teagi kas postitus on nüüd päris õiges kohas, aga vast mitte väga vales ka.
Kas mõni guru oskab selgitada, miks on REJECT ICMP vastusega parem kui DROP?
Küsimus tekkis, kuna fail2ban puhul on REJECT default. Talupojaloogikaga ütleks, et kui ma mingi tegelasega rääkida ei taha, siis ei räägigi, pole nagu põhjust seda öelda, et sina mulle ei meeldi. Netiühendust koormab vähem ja bot jääb ka mõneks ajaks rippu kui mingit vastust ei saa. Kas on mingi case, kus see REJECT on mõistlikum?

Dirty Harry · HV Guru liitunud: 05.09.2002

Guru ei ole.

REJECT saadab teisele poole vastuse, et hülgasid ta katse. DROP ei saada, päring läheb n-ö musta auku. Kumb on õigem, selle üle on netis kõvasti piike murtud ning on fail2ban on otsustanud valida REJECT tee sest: https://github.com/fail2ban/fail2ban/issues/507

kaabakas · HV veteran liitunud: 01.04.2002

Mina ütleks et mingit vahet ei ole. Tee nii et misiganes tulemüür teeb, ta annab oma tegevusega sulle endale troubleshootimise jaoks infot asjade hetkeseisu kohta.
Aga tuleb ära mainida hoopis seda, et ICMP blokkimine väljaspool fail2ban laadset lahendust on halb idee. Liiga palju on inimesi, kes arvavad, et blokivad ICMP ära ja sellega häkkerid neid enam ei leia. Mis tegelikult juhtub, on see, et pmdtud läheb selle peale katki ja siis sa lähed lolliks üritades välja selgitada miks sul nett arusaamatut moodi lonkama hakkas.

napoleon · Unknown virus liitunud: 08.12.2008

kaabakas, mõtled seda, et ping üldse kinni panna? Seda vist jah pole ilma täiendavate eeldusteta hea mõte teha. Aga üldiselt kui keegi blokkida, siis vast on hea.
Mul näiteks on ssh jaoks tehtud selline lahendus, et:
1. custom port
2. port knocking et see custom port lahti saada
3 kui sealt port knocking pordi lähedalt midagi kangutad pannakse port jälle kinni st. portscani-ga seda lahti ei saa kuna kõigele on DROP st. seda sa teada ei saa kui õigele pordile pihta said.
4. kui porti 22 kangutad, siis kogu IP-le DROP tunniks ajaks

töötab, bot-d vähemalr ssh-d kangutada ei saa ja nimekiri neist blokitud ip-dest on vahel päris pikk.

kaabakas · HV veteran liitunud: 01.04.2002

napoleon · Unknown virus liitunud: 08.12.2008

kaabakas, tean et lollid küsimused kuna minu profiil on pigem arendaja mitte sysadmin, aga hari siis natuke. ICMP kui protokolli kogu saba ja sarvedega muidugi kinni ei keera.
Aga mida täpselt silmas pead? Et kui mingi IP mulle üldse ei meeldi ja teha
iptables -I INPUT -j DROP -s <pahaip>
siis on see halb mõte?

kaabakas · HV veteran liitunud: 01.04.2002

Ei tegelt jah, siin on originaaljutust juba kaugele mööda läinud:)
Pahalasega tee mis tahad, sellest ei juhtu midagi kui sa teda maha kannad.
Aga suurest netist luba icmp ruuterisse sisse. Kui sa võtad ühendust mõne serveriga, kelleni viivast torust sinu default paketisuurus läbi ei mahu, siis sellest antakse sinu ruuterile teada üle icmp protokolli, et edasised paketid sellel suunal väiksemaks tuunitaks. See on praegu võrdlemisi tüüpiline case, näiteks googeli pilve vm'ide default mtu on 1460 iirc, muidu tavalise 1500 asemel. Kui icmp on kinni keeratud, siis selliste masinatega hakkab ühendus lonkama ja kui ei tea et icmp ei ole ainult ping, siis ei mõtlegi välja, milles häda on.

Etz · HV Guru liitunud: 27.01.2005

kaabakas · HV veteran liitunud: 01.04.2002

No kui sul on selline müür saadaval, kus tüübikaupa filtreerida saad, siis lase käia:)

ander · HV kasutaja liitunud: 01.03.2007

tshw900 · HV kasutaja liitunud: 02.06.2015

Kui fw's interneti poole DROP probleeme ei tekita, siis eelistatav. REJECT puhul saab ründaja rohkem igasugu infot koguda. Teistes applicationites ja protokollides on drop/reject valikul erinev tulemus kui fw's.

ander · HV kasutaja liitunud: 01.03.2007

jah, oluline täpsustus, et sõltuvalt rakendusest saab rejecti puhul kiiremini tala (ehk isegi veateate "cannot connect") vs default timeouti järgi munemine.