lunes, 16 de abril de 2012

Diferencia entre REJECT y DENY (DROP) en un firewall Linux

Bueno, al parecer este es el día de hacer las diferencias, y lo digo por el post anterior. Hoy ha sido un día de mucha investigación y lectura para dominar algunos temas en los que tengo algunas lagunas. Y estando en esto de configurar ufw, el firewall por defecto de Ubuntu, me he hestado haciendo la siguiente pregunta: ¿Qué hace la diferencia en una regla cuando ponemos la política por defecto, para entrada o salida, REJECT o DENY?

Muchos de ustedes, al igual que yo, habrán notado que cuando una regla de iptables tiene REJECT un mensaje es devuelto al host que hace la petición a un puerto determinado. En cambio cuando usamos DENY ningún mensaje es devuelto al host.


Lo que sucede es que REJECT hace que se envíe un paquete ICMP port unreachable al host que hace la petición. Lo que nos indica que el servidor al que estamos haciendo dicha petición está encendido y un firewall se está ejecutando. En cambio, DENY o DROP, como es llamado en iptables desde el Kernel 2.4,  hace que el paquete de petición sea "tirado al suelo y olvidado", y ningún paquete de respuesta es generado.

En esencia tanto REJECT como DENY hacen lo mismo, lo importante es tomar ventaja de uno u otro según nuestro escenario.


No hay comentarios:

Publicar un comentario