permitir - ufw Diferencia de firewall de Linux entre rechazo y denegación

iptables linux firewall (1)

"deny" usa el objetivo DROP iptables , que descarta silenciosamente los paquetes entrantes.

"Rechazar" utiliza el objetivo REJECT iptables, que devuelve un paquete de error al remitente del paquete rechazado.

Desde la página del manual de ufw :

A veces es deseable que el remitente sepa cuándo se rechaza el tráfico, en lugar de simplemente ignorarlo. En estos casos, use rechazar en lugar de denegar.

Desde el punto de vista del usuario / programa que intenta conectarse a su servidor:

• "Denegar" mantendrá el programa en espera hasta que el intento de conexión expire, poco tiempo después.

• "Rechazar" producirá un mensaje inmediato y muy informativo de "Conexión rechazada".

EDITAR:

Desde el punto de vista de la seguridad, "deny" es ligeramente preferible. Forzará todas las conexiones de un atacante potencial a un tiempo de espera, lo que ralentizará el sondeo de su servidor.

Los atacantes experimentados y / o determinados no se verán realmente afectados; por lo general, son pacientes y, de todos modos, hay varias formas de lidiar con la ralentización. Sin embargo, podría desalentar al aspirante ocasional que ni siquiera se molestó en leer la página del manual de nmap .

"Denegar" también ahorrará un poco de ancho de banda en el enlace ascendente al no enviar el paquete de error. Esto podría ser importante en las conexiones asimétricas de red donde un ataque DoS simplemente podría saturar el enlace ascendente, generalmente más estrecho, con paquetes de error.

Por otro lado, es un poco más educado que la gente sepa que estás rechazando sus conexiones. Una conexión rechazada le permite a la gente saber que es más probable que sea una decisión política permanente, en lugar de, por ejemplo, un problema de red a corto plazo.