Archiv verlassen und diese Seite im Standarddesign anzeigen : REJECT oder DENY?
Sven[CnCBoa]
14.09.01, 10:51
Was belastet den Server weniger wenn ich eine FW auf iptables einrichte?
hi!
generell würde ein reject wohl weniger belasten als ein deny, beim reject werden die ip-pakete ja einfach verworfen, wobei bei einem deny ein icmp-paket "das darfst du nicht" zurückgeschickt wird. aber wann spielt das eine rolle? solang du mit nem 486er keine atm-leitungen routen musst, sollte das den rechner nicht so wahnsinnig belasten, und es bringt sicher weniger probleme wenn du die pakete mit deny anstatt mit reject behandelst. und ausserdem: normalerweise probieren die programme ja bei nicht erfolgreichen anfragen (reject) es noch ein paar mal - bei deny wissen sie dann gleich dass es halt nicht geht - sollte man auch bedenken!
grüsse blackbird
Hm, ich muss korrigieren:
Bei einem DROP werden die Packete einfach verworfen und bei einem REJECT wird eine icmp-Antwort an den Absender geschickt.
Nach blackbirds Argumentation würde bei IPTABLES ein DROP also weniger belasten, nicht ein REJECT!
[ 18. September 2001: Beitrag editiert von: TThomas ]
Sven[CnCBoa]
19.09.01, 09:38
Thx an beide, ich werd's dann wohl auf Deny (Drop) lassen ;)
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>solang du mit nem 486er keine atm-leitungen routen musst, sollte das den rechner nicht so wahnsinnig belasten[/quote]
Ist ein wirklicher Webserver mit viel Traffic - daher macht das schon etwas aus, im Vergleich zu jemandem der seine Firewall nur nutzt um damit seinen privaten Rechenknecht zu schützen.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.