iptablesは DROP , REJECT or --reject-with tcp-rest
Fail2banの設定をしていて、BAN後の処理に迷ったのでメモ
DROP / REJECT 基礎知識
DROPにする理由
REJECTにする理由
- DROPでもREGECTでも、firewallがあることはアタッカーにわかってしまう。
- 正規のユーザにとってDROPされると時間が掛かって迷惑だから、REGECTですぐに反応を返すべき
- アクセス者がDROPされて接続がうまくいかないとき、どうせリトライするからサーバの転送量はREJECTと変わらない
REJECT --reject-with tcp-reset とは
アクセスに対して unreachable なのを伝えないことで、そのポートで何も listen していないかのように振る舞える
選択肢
- DROP:相手に時間を掛けさせたい場合
- REJECT --reject-with tcp-rest:無反応 相手に情報を渡さないのはtcp-restの方がDROPより優れている
- FORWARD:DROPもREJECTもしないで自然な様子を振舞う