iptables REJECT vs DROP

Wenn du iptables verwendest und dich fragst, ob du REJECT oder DROP verwenden sollst, ist meine Empfehlung immer DROP zu verwenden.

Generell gilt: Verwende REJECT, wenn du willst, dass die Gegenseite weiß, dass der Port unerreichbar ist, und DROP für Verbindungen zu Hosts, die du nicht sehen willst.

Normalerweise sollten alle Regeln für Verbindungen innerhalb deines LANs REJECT verwenden. Für das Internet gilt: Mit Ausnahme der Identifikation auf bestimmten Servern werden Verbindungen aus dem Internet normalerweise DROPPED.

Die Verwendung von DROP lässt die Verbindung so aussehen, als ob sie zu einer unbesetzten IP-Adresse führt. Scanner können sich dafür entscheiden, Adressen, die unbesetzt erscheinen, nicht weiter zu scannen. Da NAT verwendet werden kann, um eine Verbindung an der Firewall umzuleiten, bedeutet das Vorhandensein eines bekannten Dienstes nicht zwangsläufig, dass es einen Server an einer Adresse gibt.

Ident sollte bei jeder Adresse, die einen SMTP-Dienst anbietet, durchgelassen oder abgelehnt werden. Die Verwendung von Ident-Look-ups durch SMTP-Dienste ist jedoch nicht mehr üblich. Es gibt Chat-Protokolle, die ebenfalls auf einen funktionierenden Ident-Dienst angewiesen sind.

Wenn du DROP-Regeln verwendest:

• UDP-Pakete werden verworfen, und das Verhalten ist dasselbe, wie bei einer Verbindung zu einem nicht gebrandeten Port ohne Dienst.
• TCP-Pakete geben ein ACK/RST zurück, das ist die gleiche Antwort, die ein offener Port ohne Dienst erhält. Einige Router antworten mit einem ACK/RST im Namen von Servern, die nicht erreichbar sind.

Bei der Verwendung von REJECT-Regeln wird ein ICMP-Paket gesendet, das anzeigt, dass der Port nicht verfügbar ist.