Solución 1:
Como regla general, use REJECT cuando quiera que el otro extremo sepa que el puerto es inalcanzable. Use DROP para conexiones a hosts que no quiere que la gente vea.
Por lo general, todas las reglas para las conexiones dentro de su LAN deben usar REJECT. Para Internet, con la excepción de la identificación en ciertos servidores, las conexiones de Internet generalmente se CIERRAN.
El uso de DROP hace que la conexión parezca ser una dirección IP desocupada. Los escáneres pueden optar por no continuar escaneando las direcciones que parecen desocupadas. Dado que NAT se puede utilizar para redirigir una conexión en el cortafuegos, la existencia de un servicio conocido no indica necesariamente la existencia de un servidor en una dirección.
La identificación debe pasarse o rechazarse en cualquier dirección que proporcione el servicio SMTP. Sin embargo, el uso de búsquedas de Ident por parte de los servidores SMTP ha dejado de usarse. Hay protocolos de chat que también se basan en un servicio de identificación en funcionamiento.
EDITAR:Al usar las reglas DROP:- Los paquetes UDP se descartarán y el comportamiento será el mismo que conectarse a un puerto sin firewall sin servicio. - Los paquetes TCP devolverán un ACK/RST, que es la misma respuesta que un puerto abierto sin servicio. el servicio en él responderá con. Algunos enrutadores responderán con ACK/RST en nombre de los servidores que están inactivos.
Cuando se utilizan reglas de RECHAZO, se envía un paquete ICMP que indica que el puerto no está disponible.
Solución 2:
La diferencia es que el destino REJECT envía una respuesta de rechazo a la fuente, mientras que el destino DROP no envía nada.
Esto puede ser útil, p. para el servicio de identificación. Si usa RECHAZAR, los clientes no necesitan esperar el tiempo de espera.
Más sobre esto:http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html
Solución 3:
Por lo general, desea ignorar sondeos de atacantes a ciertos puertos, con lo que quiero decir que no desea enviar de vuelta 'conexión rechazada'. 'Conexión rechazada' significa:'hay un servidor aquí', y posiblemente brinde más información, mientras que dejar caer un paquete no brinda pistas sobre versiones de software, posibles vulnerabilidades o incluso el hecho de que un servidor está escuchando su IP.
Lo anterior es una de las razones principales para usar DROP en lugar de REJECT.
Solución 4:
Veo muchas respuestas contradictorias aquí y dado que este es el primer artículo en Google con las palabras clave correctas; aquí está la explicación correcta.
Es simple:
DROP no hace nada en absoluto con el paquete. No se reenvía a un host, no se responde. La página de manual de IPtables dice que deja caer el paquete en el suelo, es decir, no hace nada con el paquete.
REJECT difiere de DROP en que devuelve un paquete, pero la respuesta es como si un servidor estuviera ubicado en la IP, pero no tuviera el puerto en estado de escucha. IPtables enviará un RST/ACK en caso de TCP o con UDP un puerto de destino ICMP inalcanzable.
Solución 5:
Si está tratando de ocultar la existencia de su máquina por completo, -j DROP es apropiado. Por ejemplo, puede usar esto para implementar una lista negra.
Si intenta ocultar el hecho de que un puerto está abierto, debe imitar el comportamiento que ocurriría si el puerto no estuviera abierto:
- TCP:
-p tcp -j REJECT --reject-with tcp-reset - UDP:
-p udp -j REJECT --reject-with icmp-port-unreachable
Si un escáner de puertos ve que algunos puertos descartan paquetes mientras que la mayoría los rechaza, puede suponer que los paquetes descartados están en puertos que están abiertos pero ocultos.