十月 27, 2015

iptables 中DROP和REJECT的区别

iptables中的DROP和REJECT动作有什么区别。
DROP直接丢弃数据包;
REJECT拒绝并返回一个ICMP错误信息包;
REJECT其实就比DROP多返回一个ICMP错误信息包,两个策略各有优劣。
DROP可以做到更好的隐蔽,客户端无法获得反馈信息无法确定主机是否存在或者禁止ICMP;节省资源,当流量较大时可以有效节省系统开销。
REJECT对用户更为友好,但是也暴露了服务器信息。
根据特点我们可以大概划分DROP和REJECT的使用场合。 DROP适合配置在安全要求较高的网络侧,比如服务器面向外网;REJECT适合配置在内部相对信任的网络侧,将利于判断网络故障。

附上两种动作客户端接收到的反馈

DROP动作
drop

REJECT动作
reject

linux系列学习笔记