Firewall Ablehnen/Zurückweisen

2 Antworten

guenterhalt
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
Computer, Linux
11.09.2012, 06:42

kein Linux-System wird solche Texte wie "Verbindung unterbrochen" oder "Connextion Timeout" oder .... zur Quelle senden. Wenn Rückantworten gesendet werden, dann sind das oft nicht mehr als "True" oder "False" . Der Empfänger macht daraus Texte wie du sie oben genannt hast. Linux und IPTABLES haben darauf keinen Einfluss. Mann sollte solche Texte dann auch nicht für die absolute Wahrheit halten.
Woher ich das weiß:Berufserfahrung – openSuSE seit 1995
RiderJoe
11.09.2012, 18:25

Also, damit hat es Folgendes auf sich:

Wenn Du die Einstellung REJECT wählst, dann wird auf eine Anfrage von außen geantwortet, dass der betreffende Port geschlossen ist. Selbst wenn auf dem Server tatsächlich ein Server auf diesem Port läuft, kann von außen nicht darauf zugegriffen werden.

Bei der Einstellung DENY werden eingehende Pakete auf dem betreffenden Port einfach kommentarlos und ohne Antwort verworfen.

Was sind die Vor- und Nachteile? Bei REJECT kann auf die entsprechend eingestellten Ports nicht zugegriffen werden, der Rechner ist aber im Internet sichtbar, weil er ja eine Antwort an den anfragenden Rechner zurückschickt. Bei einem Portscan werden auf REJECT stehende Ports als "closed" angezeigt.

Mit DENY kannst Du den Rechner im Netz praktisch unsichtbar machen, wenn Du gleichzeitig auch noch icmp Ping sperrst. ABER: Der anfragende Rechner läuft in einen Timeout, weil er längere Zeit auf eine Antwort wartet. Deshalb kann die Einstellung DENY andere Rechner im Netz massiv ausbremsen. Du kannst das mit einem Portscan leicht selbst testen. Bei REJECT läuft der rasend schnell durch, bei DENY dauert das ewig, weil der scannende Rechner bis zum Timeout auf Antwort wartet. REJECT ist deshalb die technisch sauberere Lösung, es sei denn, es besteht berechtigtes Interesse, den Rechner vor der Außenwelt zu verstecken.