Avaleht
uus teema   vasta Tarkvara »  Turvalisus »  firewall DROP vs REJECT märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 13.05.2022 21:26:53 firewall DROP vs REJECT vasta tsitaadiga

Ei teagi kas postitus on nüüd päris õiges kohas, aga vast mitte väga vales ka.
Kas mõni guru oskab selgitada, miks on REJECT ICMP vastusega parem kui DROP?
Küsimus tekkis, kuna fail2ban puhul on REJECT default. Talupojaloogikaga ütleks, et kui ma mingi tegelasega rääkida ei taha, siis ei räägigi, pole nagu põhjust seda öelda, et sina mulle ei meeldi. Netiühendust koormab vähem ja bot jääb ka mõneks ajaks rippu kui mingit vastust ei saa. Kas on mingi case, kus see REJECT on mõistlikum?
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dirty Harry
HV Guru

liitunud: 04.09.2002



Autoriseeritud ID-kaardiga

sõnum 15.05.2022 21:15:51 vasta tsitaadiga

Guru ei ole.

REJECT saadab teisele poole vastuse, et hülgasid ta katse. DROP ei saada, päring läheb n-ö musta auku. Kumb on õigem, selle üle on netis kõvasti piike murtud ning on fail2ban on otsustanud valida REJECT tee sest: https://github.com/fail2ban/fail2ban/issues/507
Kommentaarid: 177 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 143
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 18:04:24 vasta tsitaadiga

Mina ütleks et mingit vahet ei ole. Tee nii et misiganes tulemüür teeb, ta annab oma tegevusega sulle endale troubleshootimise jaoks infot asjade hetkeseisu kohta.
Aga tuleb ära mainida hoopis seda, et ICMP blokkimine väljaspool fail2ban laadset lahendust on halb idee. Liiga palju on inimesi, kes arvavad, et blokivad ICMP ära ja sellega häkkerid neid enam ei leia. Mis tegelikult juhtub, on see, et pmdtud läheb selle peale katki ja siis sa lähed lolliks üritades välja selgitada miks sul nett arusaamatut moodi lonkama hakkas.

_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 103 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 93
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 18:24:48 vasta tsitaadiga

kaabakas, mõtled seda, et ping üldse kinni panna? Seda vist jah pole ilma täiendavate eeldusteta hea mõte teha. Aga üldiselt kui keegi blokkida, siis vast on hea.
Mul näiteks on ssh jaoks tehtud selline lahendus, et:
1. custom port
2. port knocking et see custom port lahti saada
3 kui sealt port knocking pordi lähedalt midagi kangutad pannakse port jälle kinni st. portscani-ga seda lahti ei saa kuna kõigele on DROP st. seda sa teada ei saa kui õigele pordile pihta said.
4. kui porti 22 kangutad, siis kogu IP-le DROP tunniks ajaks

töötab, bot-d vähemalr ssh-d kangutada ei saa ja nimekiri neist blokitud ip-dest on vahel päris pikk.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 19:25:50 vasta tsitaadiga

napoleon kirjutas:
kaabakas, mõtled seda, et ping üldse kinni panna? Seda vist jah pole ilma täiendavate eeldusteta hea mõte teha. Aga üldiselt kui keegi blokkida, siis vast on hea.

Ei mitte seda et ping kinni panna. Pingi võid kinni panna, aga icmp ei tohi kinni panna. Ping on pmst üks icmp paarikümnest funktsioonist. Kui tulemüür paketi sisse vaadata ei oska, siis ta icmp funktsioonidel ka vahet teha ei oska, ja nii see asi sinna läheb et inimesed teadmatusest omale jalga tulistavad.

_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 103 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 93
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 19:59:36 vasta tsitaadiga

kaabakas, tean et lollid küsimused kuna minu profiil on pigem arendaja mitte sysadmin, aga hari siis natuke. ICMP kui protokolli kogu saba ja sarvedega muidugi kinni ei keera.
Aga mida täpselt silmas pead? Et kui mingi IP mulle üldse ei meeldi ja teha
iptables -I INPUT -j DROP -s <pahaip>
siis on see halb mõte?
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 20:18:57 vasta tsitaadiga

Ei tegelt jah, siin on originaaljutust juba kaugele mööda läinud:)
Pahalasega tee mis tahad, sellest ei juhtu midagi kui sa teda maha kannad.
Aga suurest netist luba icmp ruuterisse sisse. Kui sa võtad ühendust mõne serveriga, kelleni viivast torust sinu default paketisuurus läbi ei mahu, siis sellest antakse sinu ruuterile teada üle icmp protokolli, et edasised paketid sellel suunal väiksemaks tuunitaks. See on praegu võrdlemisi tüüpiline case, näiteks googeli pilve vm'ide default mtu on 1460 iirc, muidu tavalise 1500 asemel. Kui icmp on kinni keeratud, siis selliste masinatega hakkab ühendus lonkama ja kui ei tea et icmp ei ole ainult ping, siis ei mõtlegi välja, milles häda on.

_________________
Mida Ott ei õpi, seda Egon ei tea.


viimati muutis kaabakas 23.05.2022 20:28:17, muudetud 1 kord
Kommentaarid: 103 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 93
tagasi üles
vaata kasutaja infot saada privaatsõnum
Etz
HV Guru
Etz

liitunud: 27.01.2005



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 20:29:47 vasta tsitaadiga

kaabakas kirjutas:
Ei tegelt jah on siin originaaljutust juba mööda läinud:)
Pahalasega tee mis tahad, aga suurest netist luba icmp ruuterisse sisse.


See nüüd küll, kuskilt otsast pädev soovitus pole… icon_rolleyes.gif
ICMP type 0,8,42 ja 43 võib julgelt droppida, midagi sellest ei juhtu.

_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Kommentaarid: 223 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 192
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 23.05.2022 20:50:24 vasta tsitaadiga

No kui sul on selline müür saadaval, kus tüübikaupa filtreerida saad, siis lase käia:)
_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 103 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 93
tagasi üles
vaata kasutaja infot saada privaatsõnum
ander
HV kasutaja
ander

liitunud: 01.03.2007




sõnum 19.07.2022 14:01:14 Re: firewall DROP vs REJECT vasta tsitaadiga

napoleon kirjutas:
Kas on mingi case, kus see REJECT on mõistlikum?


untrust tsoonist tüüpi internet paned sa alati DROP, sest nagu sa juba ütlesid, siis soovimatute külalistega pole mõtet pikka juttu ajada.

mingis dmzi laadses (sinu kontrolli all olevas) tsoonis tüüpi müüritud sisevõrgud, kus sa lubad mingites suundades ainult kindlat liiklust, siis viimane catch all reegel võib olla REJECT, sest sinu infra ja lihtsustab kehvast mälust tingitud debugimist tcpdumpi vmt riistaga.

(iptables/netfilter/misiganes kogu oma pidulikuses vist REJECTi default policyks panna ei lasknud.)

lihtsalt üks ettepanek. aga kui kui defaultis dropid ja logimine kenasti peal, siis lähed loed müüri logi.

isiklikult kasutan sõltumata asendist droppi ja vajadusel loen logi.
Kommentaarid: 26 loe/lisa Kasutajad arvavad:  :: 4 :: 0 :: 21
tagasi üles
vaata kasutaja infot saada privaatsõnum
tshw900
HV kasutaja

liitunud: 02.06.2015



Autoriseeritud ID-kaardiga

sõnum 19.07.2022 16:55:09 vasta tsitaadiga

Kui fw's interneti poole DROP probleeme ei tekita, siis eelistatav. REJECT puhul saab ründaja rohkem igasugu infot koguda. Teistes applicationites ja protokollides on drop/reject valikul erinev tulemus kui fw's.
Kommentaarid: 46 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 41
tagasi üles
vaata kasutaja infot saada privaatsõnum
ander
HV kasutaja
ander

liitunud: 01.03.2007




sõnum 19.07.2022 17:11:37 vasta tsitaadiga

jah, oluline täpsustus, et sõltuvalt rakendusest saab rejecti puhul kiiremini tala (ehk isegi veateate "cannot connect") vs default timeouti järgi munemine.
Kommentaarid: 26 loe/lisa Kasutajad arvavad:  :: 4 :: 0 :: 21
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Turvalisus »  firewall DROP vs REJECT
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.