প্রশ্ন IPtables ব্যবহার করার সময় DROP বিপরীত


আমি চাই কেন কোন কারণ আছে

iptables -A INPUT -j REJECT

পরিবর্তে

iptables -A INPUT -j DROP

81
2017-07-04 09:49


উত্স




উত্তর:


সাধারণ নিয়ম হিসাবে, যখন আপনি অন্য কোনও পোর্টটি জানতে চান না তখন REJECT ব্যবহার করুন 'হোস্টের সংযোগগুলির জন্য DROP ব্যবহার করুন যা আপনি দেখতে চান না।

সাধারণত, আপনার LAN এর মধ্যে সংযোগগুলির জন্য সমস্ত নিয়মগুলি REJECT ব্যবহার করা উচিত। ইন্টারনেটের জন্য, নির্দিষ্ট সার্ভারগুলিতে সনাক্তকরণের ব্যতিক্রম ছাড়া, ইন্টারনেট থেকে সংযোগগুলি সাধারণত ড্রপ করা হয়।

DROP ব্যবহার করে সংযোগটি একটি অননুমোদিত আইপি ঠিকানায় উপস্থিত হয়। স্ক্যানাররা অযথাযথ উপস্থিত থাকা স্ক্যান স্ক্যানগুলি চালিয়ে যেতে পারে না। ফায়ারওয়ালের সাথে একটি সংযোগ পুনঃনির্দেশ করার জন্য NAT ব্যবহার করা যেতে পারে, একটি সুপরিচিত পরিষেবাটির অস্তিত্বটি কোনও ঠিকানায় একটি সার্ভারের অস্তিত্বকে নির্দেশ করে না।

সনাক্তকারী এসএমটিপি সেবা প্রদান কোন ঠিকানা পাস বা বাতিল করা উচিত। যাইহোক, SMTP দ্বারা আইডেন্ট লক-আপগুলির ব্যবহারগুলি ব্যবহারের বাইরে চলে গেছে। চ্যাট প্রোটোকলগুলি রয়েছে যা একটি কাজের পরিচয় পরিষেবাতেও নির্ভর করে।

সম্পাদনা করুন: DROP নিয়ম ব্যবহার করার সময়:  - UDP প্যাকেটগুলি বাদ দেওয়া হবে এবং আচরণটি কোনও পরিষেবা ছাড়াই একটি অনির্বাচিত পোর্টে সংযোগ হিসাবে একই হবে।  - টিসিপি প্যাকেট একটি এসিকে / আরএসটি ফিরিয়ে দেবে যা একই প্রতিক্রিয়া যা কোনও সেবা ছাড়াই একটি উন্মুক্ত পোর্ট সাড়া দেবে। কিছু রাউটারগুলি নিম্নে থাকা সার্ভারের পক্ষে এবং ACK / RST এর সাথে সাড়া দেবে।

REJECT নিয়মগুলি ব্যবহার করার সময় একটি ICMP প্যাকেট পাঠানো হয় যা পোর্টটি নির্দেশ করে অনুপলব্ধ।


73
2017-07-04 16:40



এই সত্য নয়। এমনকি যখন নিয়মটি "DROP" বলে থাকে তখনও সিস্টেমটি টিসিপি সিইএন / এসিকে যেমন খোলা ছিল, তেমনই ইনকামিং প্যাকেটের উত্তর দেবে। সত্যিই একটি প্যাকেট ড্রপ করার জন্য, সিস্টেমটি একটি টিসিপি আরএসটি / এসিকে দিয়ে উত্তর দিতে হবে - যার জন্য কোনও ফায়ারওয়াল নিয়ম নেই। এভাবে, সেরা ফায়ারওয়ালিং সেটআপ একমাত্র যেখানে শুধুমাত্র পোর্টগুলি ফরওয়ার্ড করা হয়। আপনার DROP নিয়ম আপনার ফায়ারওয়াল বিজ্ঞাপনের ঘোষণা দেবে এবং পোর্ট-স্ক্যানাররা জানবেন যে আপনি কিছু ফায়ারওয়াল করছেন এবং আপনার ফায়ারওয়ালকে আটকে রাখার প্রত্যাশায় হ্যামারিং চালিয়ে যান। - Dagelf
@ ড্যাজেল আমার সম্পাদনা দেখুন। RST / ACK স্ক্যানারগুলিকে নির্দেশ করে না যে আপনি কোনও ফায়ারওয়ালিং করছেন। কিছু হ্যাকার এই প্রতিক্রিয়ার পরে তদন্ত চালিয়ে যেতে পারে, এটি আপনার পরিষেবাকে ফায়ারওয়াল প্রতিক্রিয়া না জানার উপর ভিত্তি করে থাকা উচিত। এটা স্পষ্টভাবে আমি অভিজ্ঞ স্ক্যান সংখ্যা এবং দৈর্ঘ্য বাদ। - BillThor
আমার পয়েন্টটি হল, এটির বাইরে থেকে সনাক্ত করা যায় কিনা আপনি কোনও ফায়ারওয়ালিং করছেন কিনা নাকি কেবলমাত্র আপনার টিসিপি স্ট্যাকটি ভিন্ন ভিন্ন আচরণের কারণে নয়, যখন আপনি কোনও পরিষেবাতে প্রথমবারের মতো চলমান পরিষেবা না থাকলে ড্রাইভ করুন! - Dagelf
ফলস্বরূপ পুঁজিবাজারে বোটনেটগুলি এবং ফলাফল হিসাবে আপনার পোর্টগুলির নজরদারি রয়েছে এমন বিষয়টি পরিবর্তন করে না। - Dagelf
@ ডাগেল আপনি তথ্যটি কোথায় পেয়েছেন যে DROP প্রতিক্রিয়া পাঠায়? যে বড় খবর এবং আমি পালন করেছি এবং প্রতিপালিত সবকিছু প্রতি পাল্টা চালায়। আপনি এই আচরণ বর্ণনা করে ডকুমেন্টেশন একটি লিঙ্ক আছে? - Score_Under


পার্থক্য হল যে রেজেক্ট লক্ষ্যটি উত্স থেকে প্রত্যাখ্যাত প্রতিক্রিয়া পাঠায়, যখন DROP লক্ষ্য কিছুই পাঠায় না।

এটি দরকারী হতে পারে যেমন পরিচয় সেবা জন্য। আপনি যদি REJECT ব্যবহার করেন তবে ক্লায়েন্টদের সময়সীমার জন্য অপেক্ষা করতে হবে না।

এই সম্পর্কে আরো: http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html


25
2017-07-04 09:59



DROP টার্গেট কিছুই পাঠাতে না। গ্রহনযোগ্য উত্তর সম্পর্কে আমার মন্তব্যটি পরীক্ষা করে দেখুন এবং যদি আপনি বিস্তারিত জানতে আগ্রহী হন তবে নিজের বিষয়ে গবেষণা করুন! - Dagelf


সাধারণত, আপনি চান উপেক্ষা করা আক্রমণকারীদের থেকে নির্দিষ্ট বন্দরে অনুসন্ধান, যার অর্থ আমি আপনাকে 'সংযোগ প্রত্যাখ্যান' পাঠাতে চাই না। 'সংযোগ প্রত্যাখ্যান' এর অর্থ হল: 'এখানে একটি সার্ভার রয়েছে', এবং সম্ভবত আরও তথ্য সরবরাহ করে, তবে একটি প্যাকেট ড্রপ করা সফ্টওয়্যার সংস্করণ, সম্ভাব্য দুর্বলতা বা এমন কোনও তথ্য যা সার্ভার আপনার কাছে আইপি শুনতে পাচ্ছে সে সম্পর্কে সুত্র প্রদান করে না।

উপরে উল্লেখিত পরিবর্তে DROP ব্যবহারের প্রধান কারণগুলির মধ্যে একটি।


8
2017-07-04 13:09



Iptables নিয়ম ছাড়া, একটি বন্ধ পোর্ট বাতিল করতে ডিফল্ট। আপনি যদি প্রতিটি পোর্ট ড্রপ করেন তবে এটি একটি দুর্দান্ত বিকল্প (আপনার হোস্ট প্রদর্শিত হবে) তবে যদি আপনি শুধুমাত্র নির্দিষ্ট পোর্টগুলি ড্রপ করেন তবে আপনি আসলে REJECT এর চেয়ে আরও বেশি তথ্য সরবরাহ করছেন। যদি কেউ nmap এর মতো কম্বল প্রোব ব্যবহার করে তবে পোর্ট ড্রপের নির্দিষ্ট পোর্টগুলি "ফিল্টার" হিসাবে প্রদর্শিত হবে, যার মানে তারা জানে যে আপনার কাছে লুকানো রয়েছে এমন একটি পরিষেবা আছে। - Raptor007


আমি এখানে বেশ কয়েকটি দ্বন্দ্বমূলক উত্তর দেখতে পাচ্ছি এবং এটি সঠিক কীওয়ার্ড দিয়ে Google এ প্রথম নিবন্ধটি দেওয়া হয়েছে; এখানে সঠিক ব্যাখ্যা।
ইহা সাধারণ:

DROP প্যাকেট সঙ্গে সব কিছুই না। এটি একটি হোস্ট ফরওয়ার্ড করা হয় না, এটা উত্তর পাওয়া যায় না। আইপ্যাটেবলের ম্যানপ্যাঞ্জ বলছে যে এটি মেঝেতে প্যাকেট ড্রপ করে, যেমন এটি প্যাকেটের সাথে কিছুই করে না।

REJECT DROP এর থেকে আলাদা যে এটি একটি প্যাকেট ফেরত পাঠায়, কিন্তু উত্তরটি আইপি তে অবস্থিত একটি সার্ভারের মতো, তবে একটি শোনা অবস্থায় বন্দর নেই। আইপিটিবেলে টিসিপি বা ইউডির সাথে একটি আইসিএমপি গন্তব্য পোর্টে পৌঁছাতে একটি আরএসটি / এসিকে পাঠানো হবে।


6
2018-01-11 12:29



আমার কাছ থেকে +1, কিন্তু উত্তর সত্যিই অসম্মতি না। তারা সকলেই একমত, আমি যতদূর দেখতে পাচ্ছি, Dagelf ছাড়া - কে ভুল। - MadHatter
ঠিক আছে, এখানে আপনার জন্য একটি ছোট কৌশল: একটি "nmap localhost" করুন। এখন কোনও পোর্ট বাছাই করুন যা "খোলা" নয় ... এবং একটি নিয়ম যোগ করুন যা "কিছু না করে", যেমন: "iptables -I INPUT -p tcp --dport 888 -j DROP"। এখন আবার "nmap localhost"। তুমি কি দেখতে পাও? ... - Dagelf


আপনি যদি সম্পূর্ণরূপে আপনার মেশিনের অস্তিত্ব লুকানোর চেষ্টা করছেন, -j DROPউপযুক্ত। উদাহরণস্বরূপ, আপনি একটি কালো তালিকা বাস্তবায়নের জন্য এটি ব্যবহার করতে পারেন।

যদি আপনি কোনও পোর্ট খোলা থাকে তা গোপন করার চেষ্টা করছেন, তবে পোর্টটি খোলা না থাকলে আচরণটির অনুকরণ করা উচিত:

  • বিভিন্ন TCP: -p tcp -j REJECT --reject-with tcp-reset
  • এর ফলে UDP: -p udp -j REJECT --reject-with icmp-port-unreachable

যদি কোনও পোর্ট স্ক্যানার দেখায় যে কয়েকটি পোর্টগুলি পকেটগুলি ড্রপ করছে তবে বেশিরভাগই তাদের প্রত্যাখ্যান করছে, তবে ড্রপযুক্ত প্যাকেটগুলি খোলা কিন্তু লুকানো পোর্টগুলির মধ্যে রয়েছে।


3
2017-08-13 01:29



আপনি যদি কয়েকটি পোর্ট খুলেন (যেমন 22, 25, 53, 80, 443) এবং তারপরে অন্য সবকিছু ড্রপ করবেন? এখন আমার মাইএসকিউএল, পোস্টগ্রাশ এসকিউএল, এসকিউএলাইট, বা ক্যাসান্ড্রা চলছে কিনা ... স্ক্যানার বলতে পারবে না, তাই না? - Alexis Wilke
@AlexisWilke সেই ক্ষেত্রে, আপনি কেবলমাত্র অতিরিক্ত পোর্ট স্ক্যানার সরবরাহ করছেন এমন তথ্যটি হল ডিফল্ট DROP নীতির সাথে আপনার কোনও ধরণের ফায়ারওয়াল রয়েছে। - Raptor007


অনেকগুলি সঠিক উত্তর সত্ত্বেও, আমার দুটি সেন্ট:

এখানে একটি সংক্ষিপ্ত PoC হয় FW.IDS-ড্রপ-বনাম-বাতিল নিষেধাজ্ঞার জন্য নিয়ম (ফায়ারওয়াল, আইডিএস, ইত্যাদি) সম্পর্কে আমার বিষয়।

কিছুদিন:

  • DROP সব পোর্ট নিষিদ্ধ করা যদি recidive অনুপ্রবেশকারীদের জন্য ব্যবহার করা যেতে পারে (তাই সার্ভারের অনুপ্রবেশকারী পাশে নিচে মত দেখায়)
  • REJECT --reject-with tcp-reset মাল্টি পোর্ট নিষেধাজ্ঞা জন্য সেরা পছন্দ, এটি একটি বাস্তব বন্ধ বন্দর হিসাবে আচরণ বলে মনে হয়
  • কিছু পোর্ট উত্তর দিচ্ছে (অনুপ্রবেশকারী জানেন যে হোস্ট জীবিত), DROP এবং REJECT (বিনা tcp-reset) অনুপ্রবেশকারীদের একটি "সংকেত" দেবে যা কিছু অবরুদ্ধ আছে (যাতে কিছু সময়ে প্রয়োজনীয় তথ্য প্রদানের আশায় "আক্রমণ" চালিয়ে যেতে উদ্দীপিত হতে পারে)

0
2017-09-20 16:49





হ্যাঁ, DROP ব্যবহার করে অর্থহীন। বাতিল ব্যবহার করুন।

এমনকি যখন নিয়মটি "DROP" বলে মনে হয় তখনও সিস্টেম টিসিপি আরএসটি / এসিকে-এর সাথে একটি ইনকামিং SYN- কে কোনও পরিষেবাদি ছাড়াই পোর্টগুলির জন্য ডিফল্ট আচরণের উত্তর দেয়। (tcpdump et al এই লগ ইন করে না।)

একটি সেবা চলমান হয়, SYN টিসিপি SYN / ACK সঙ্গে দেখা হয়।

DROP টিসিপি সিইএন / এসিকে দিয়ে স্বাভাবিক হিসাবে সাড়া দেয় না, তবে এর পরিবর্তে একটি আরএসটি / এসিকে দিয়ে আপনার DROP নিয়ম আপনার ফায়ারওয়াল বিজ্ঞাপিত করবে এবং পোর্ট-স্ক্যানারগুলি জানবে যে আপনি কিছু ফায়ারওয়াল করছেন এবং আশাগুলিতে আপনাকে হ্যামারে রাখতে পারে। নিচে আপনার ফায়ারওয়াল ধরা।

এটি এখন এনএমপি উদাহরণস্বরূপ "বন্ধ" এর পরিবর্তে "ফিল্টার" প্রতিবেদন করতে পারে:

$ nmap localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

$ iptables -I INPUT -p tcp --dport 1111 -j DROP
$ nmap localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2018-03-14 00:21 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http
1111/tcp filtered lmsocialserver

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

$ iptables -D INPUT 1

যেমন, একমাত্র "অদৃশ্য" ফায়ারওয়ালিং সেটআপ এমন এক যেখানে একটি ডেডিকেটেড ডিভাইস আপনার ডিভাইসগুলির মধ্যে এবং কেবলমাত্র পছন্দের পোর্টগুলির মধ্যেই থাকে।

আপনি যদি মূল স্ক্যানারগুলির সাথে জগাখিচুড়ি করতে চান তবে আপনি TCPP সংযোগগুলি TARPIT করতে পারেন যা টিসিপি উইন্ডোটিকে 0 এ সেট করে যাতে সংযোগটি বন্ধ করার পরে অনুরোধগুলি বন্ধ করার অনুরোধগুলি উপেক্ষা করে কোনও তথ্য স্থানান্তর করা যায় না, যার অর্থ স্ক্যানারকে অপেক্ষা করতে হবে সংযোগ সময়সীমার জন্য, এটি নিশ্চিত হতে চায়, ঘটতে। কিন্তু এটি একটি আক্রমণকারীর পক্ষে এটি সনাক্ত করা এবং তার সময়সীমাটি খুব সংক্ষিপ্ত করে তোলে।

সমস্ত কিছু বিবেচনা করা হয়েছে, আপনি সম্ভবত REJECT ব্যবহার করেই সেরা হতে পারেন - অথবা আপনার সার্ভার এবং ইন্টারনেটের মধ্যে একটি ডেডিকেটেড পোর্ট ফরওয়ার্ডিং ডিভাইস স্থাপন করুন।

অথবা শুধুমাত্র আপনার ইন্টারনেট-মুখোমুখি যন্ত্রগুলিতে পরিষেবাগুলি চালানো যা ফায়ারওয়ালিংয়ের প্রয়োজন হয় না।

সাধারনত ওয়েব সার্ভারগুলির জন্য REJECT সর্বোত্তম, যে কোনও পরিষেবা এটি অ্যাক্সেস করার চেষ্টা করছে (সম্ভবত আপনার চেয়ে বেশি বেশি) তা দ্রুত প্রতিক্রিয়া পাবে এবং ব্যবহারকারীরা বা অন্যান্য পরিষেবাদি নেটওয়ার্ক আউটজেকশন থাকলে অবাক হওয়ার অপেক্ষা রাখে না।


-3



এই উত্তর ভুল। এটি সহজেই tcpdump দিয়ে দেখানো যেতে পারে যে DROP নিয়মটি সিস্টেমকে কোনও উত্তর প্রেরণ করবে না - যেমনটি আশা করবে। এবং আপনার বিবৃতি "সত্যিই একটি প্যাকেট ড্রপ করার জন্য, সিস্টেমটি একটি টিসিপি আরএসটি / এসিকে দিয়ে উত্তর দিতে হবে" স্পষ্টভাবে কোনও উত্তর দেওয়ার অর্থ নেই "সত্যিই একটি প্যাকেট ড্রপ করা" নয়। যদি আপনি একটি প্যাকেট "সত্যিই ড্রপ" করেন, আপনি কেবল উত্তর দিবেন না এবং এটি প্রত্যক্ষভাবে DROP নিয়মটির প্রভাব। - Juliane Holzt
আপনি যে অভিযোগের জন্য একটি উৎস প্রদান করতে পারে DROP একটি ইস্যু হবে SYN/ACK? আমি আমার মেশিনে এই দেখেছি না। - motobói
@ ডাগেল আপনার নিবন্ধটি "ড্রপ (উর ডেনি, ব্ল্যাকহোল) পাস করে একটি প্যাকেট নিষিদ্ধ করুন। কোন প্রতিক্রিয়া পাঠান না।" - JeanT
এটি স্বাভাবিক প্রতিক্রিয়া পাঠায় না, তবে এটি নির্বিশেষে ব্যাখ্যা করে পাঠানো হয়। - Dagelf
আপনি যে ডকুমেন্টটি লিঙ্ক করেন সেটি "ড্রপ ... কোন প্রতিক্রিয়া পাঠান", এবং আমি যতদূর দেখতে পাচ্ছি, আপনার দাবি সমর্থন করে না DROP একটি ফিরে SYN/ACK। আমি, খুব, কোন সংস্করণ অধীনে এই আচরণ দেখা যায় না iptables। যদি আপনার কাছে এমন একটি উত্স থাকে যা আপনার দাবি সমর্থন করে তবে এটি দেখতে সবচেয়ে দরকারী হবে; অবশ্যই, আমি যে প্যাকেট ডাম্প করেছি তা আপনার দাবি সমর্থন করে না। - MadHatter