Firewall Ablehnen/Zurückweisen
Hallo,
ich habe eine Frage zu einer Firewallregelung die mich ein bisschen durcheinander gebracht hat...
Es gibt 3 möglichkeiten unter Unix mit IPtables die verbindung der pakete/ports/ip's zu steuern.
Was Erlauben ist weiß ich... Was aber ist mit zurückweisen oder ablehnen? Ich habe gelesen, dass es Methoden zum blockieren der verbindungen gibt, dem "Paketsender" der die Anfrage schickte zu vermitteln "Connection Timeout" oder " Verbindung unterbrochen". Meine Frage wäre: Ist zurückweisen "Verbindung unterbrochen" oder "Connection Timeout"?
2 Antworten
kein Linux-System wird solche Texte wie "Verbindung unterbrochen" oder "Connextion Timeout" oder .... zur Quelle senden. Wenn Rückantworten gesendet werden, dann sind das oft nicht mehr als "True" oder "False" . Der Empfänger macht daraus Texte wie du sie oben genannt hast. Linux und IPTABLES haben darauf keinen Einfluss. Mann sollte solche Texte dann auch nicht für die absolute Wahrheit halten.
Also, damit hat es Folgendes auf sich:
Wenn Du die Einstellung REJECT wählst, dann wird auf eine Anfrage von außen geantwortet, dass der betreffende Port geschlossen ist. Selbst wenn auf dem Server tatsächlich ein Server auf diesem Port läuft, kann von außen nicht darauf zugegriffen werden.
Bei der Einstellung DENY werden eingehende Pakete auf dem betreffenden Port einfach kommentarlos und ohne Antwort verworfen.
Was sind die Vor- und Nachteile? Bei REJECT kann auf die entsprechend eingestellten Ports nicht zugegriffen werden, der Rechner ist aber im Internet sichtbar, weil er ja eine Antwort an den anfragenden Rechner zurückschickt. Bei einem Portscan werden auf REJECT stehende Ports als "closed" angezeigt.
Mit DENY kannst Du den Rechner im Netz praktisch unsichtbar machen, wenn Du gleichzeitig auch noch icmp Ping sperrst. ABER: Der anfragende Rechner läuft in einen Timeout, weil er längere Zeit auf eine Antwort wartet. Deshalb kann die Einstellung DENY andere Rechner im Netz massiv ausbremsen. Du kannst das mit einem Portscan leicht selbst testen. Bei REJECT läuft der rasend schnell durch, bei DENY dauert das ewig, weil der scannende Rechner bis zum Timeout auf Antwort wartet. REJECT ist deshalb die technisch sauberere Lösung, es sei denn, es besteht berechtigtes Interesse, den Rechner vor der Außenwelt zu verstecken.