PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : REJECT oder DENY?



Sven[CnCBoa]
14.09.01, 10:51
Was belastet den Server weniger wenn ich eine FW auf iptables einrichte?

blackbird
17.09.01, 21:42
hi!

generell würde ein reject wohl weniger belasten als ein deny, beim reject werden die ip-pakete ja einfach verworfen, wobei bei einem deny ein icmp-paket "das darfst du nicht" zurückgeschickt wird. aber wann spielt das eine rolle? solang du mit nem 486er keine atm-leitungen routen musst, sollte das den rechner nicht so wahnsinnig belasten, und es bringt sicher weniger probleme wenn du die pakete mit deny anstatt mit reject behandelst. und ausserdem: normalerweise probieren die programme ja bei nicht erfolgreichen anfragen (reject) es noch ein paar mal - bei deny wissen sie dann gleich dass es halt nicht geht - sollte man auch bedenken!

grüsse blackbird

Thomas
18.09.01, 18:24
Hm, ich muss korrigieren:

Bei einem DROP werden die Packete einfach verworfen und bei einem REJECT wird eine icmp-Antwort an den Absender geschickt.

Nach blackbirds Argumentation würde bei IPTABLES ein DROP also weniger belasten, nicht ein REJECT!

[ 18. September 2001: Beitrag editiert von: TThomas ]

Sven[CnCBoa]
19.09.01, 09:38
Thx an beide, ich werd's dann wohl auf Deny (Drop) lassen ;)

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>solang du mit nem 486er keine atm-leitungen routen musst, sollte das den rechner nicht so wahnsinnig belasten[/quote]

Ist ein wirklicher Webserver mit viel Traffic - daher macht das schon etwas aus, im Vergleich zu jemandem der seine Firewall nur nutzt um damit seinen privaten Rechenknecht zu schützen.