Supportnet / Forum / Security/Viren
[Firewall] DENY ("Unsichtbar") oder REJECT besser?
Frage
Hallo,
hab mal wieder ne Verständnisfrage: Bei Firewalls kann man ja wählen zwischen DENY (Packet wird ignoriert) oder REJECT (standard im Netz: Packet wird (mit Antwort) abgelehnt). [Natürlich nur, wenn auf dem lokalen Port kein Server oder was anderes läuft, ist ja klar]
Aber was von den beiden ist nun eigentlich besser?
Wenn die Firewall mit z.B. "Port nicht verfügbar" antwortet (REJECT) ist das dann genauso, als wäre der Rechner aus, und ein Router des ISP würde ebenfalls das selbe senden? Oder erkennt man (also der andere, der ein Packet an und schickt) einen angeschalteten Rechner an dem REJECT der Firewall?
Wenn dies so wäre, wäre man ja trotz REJECT "unsichtbar", oder?
Aber warum dann DENY? Da bekommt der andere ja ein Timeout, wegen des Ignorierens seiner Anfrage. Würde er nicht auch einen Timeout erhalten, wenn der Rechner effektiv abgeschaltet wäre? Oder würde sich in diesen Fall der ISP dazwischenschalten und ihm ein REJECT senden? Was ja bedeuten würde, er würde nur Timeouts bekommen, wenn unser Rechner eingeschaltet und die Firewall auf DENY-Modus wäre, oder?
Aber sendet jeder ISP (oder wer das auch immer macht), ein REJECT wenn unser Rechner aus wäre?
[i]<gruß thj>[/i]
Antwort 1 von info1
hallo
da du joker im namen hast, verstehst du sicher spaß.
denk an deine freundin. die textet dich wieder mit allen möglichen zu. jetzt hast du 2 möglichkeiten:
1) reject (dienst nicht verfügbar): schatz ich kann jetzt nicht reden
2) deny (kommentarlos verwerfen) : du läßt dich weiter zutexten, was dir und ihr unnötige energie und zeit kostet
folge: für die beziehung ist ein offenes und ehrliches reject besser.
und so sieht es auch dein system / deine firewall.
da du joker im namen hast, verstehst du sicher spaß.
denk an deine freundin. die textet dich wieder mit allen möglichen zu. jetzt hast du 2 möglichkeiten:
1) reject (dienst nicht verfügbar): schatz ich kann jetzt nicht reden
2) deny (kommentarlos verwerfen) : du läßt dich weiter zutexten, was dir und ihr unnötige energie und zeit kostet
folge: für die beziehung ist ein offenes und ehrliches reject besser.
und so sieht es auch dein system / deine firewall.
Antwort 2 von TheHappyJoker
Hallo,
ja, den Text kenne ich schon :-)
Aber nehmen wir mal an, mein Rechner ist wirklich aus und jemand stellt eine Anfrage. Bekommt er dann ein Timeout (worauf er erstmal auf DENY schließen würde) oder ein REJECT von den ISP oder einen anderen Rechner/Router im Netz?
<gruß thj>
ja, den Text kenne ich schon :-)
Aber nehmen wir mal an, mein Rechner ist wirklich aus und jemand stellt eine Anfrage. Bekommt er dann ein Timeout (worauf er erstmal auf DENY schließen würde) oder ein REJECT von den ISP oder einen anderen Rechner/Router im Netz?
<gruß thj>
Antwort 3 von damn
Nein, er bekommt ein "Zielhost nicht erreichbar"
Antwort 4 von TheHappyJoker
Hallo,
und "Zielhost nicht erreichbar" steht dann also für ein REJECT, oder?
<gruß thj>
und "Zielhost nicht erreichbar" steht dann also für ein REJECT, oder?
<gruß thj>
Antwort 5 von damn
Nein, das steht für "die Adresse gibt es nicht"
REJECT wäre eher ein "ich bin da, aber du darfst nicht"
DENY ist ein "irgendwie kommt da nix zurück" -> Rechner muss eine Firewall installiert haben oder ist einfach überlastet.
REJECT wäre eher ein "ich bin da, aber du darfst nicht"
DENY ist ein "irgendwie kommt da nix zurück" -> Rechner muss eine Firewall installiert haben oder ist einfach überlastet.