Non tutti sanno che succede ad un firewall quando gli "passa" un pacchetto. Ebbene, ci sono in linea di massima tre comportamenti che lo stesso può intraprendere:

• ALLOW (o anche comunamente chiamto ACCEPT) - Tr. IT Consenti
• DROP - Tr. IT Scarta
• REJECT - (o anche deny)Tr. IT Rifiuta/Nega

Su Allow (consenti) nulla da soffermarsi: quando un pacchetto corrisponde alla regola precedentemente impostata, il pacchetto passa come se il firewall non esistesse.

La cosa che mi più preve spiegare con questo articolo, è la differenza che c'è tra "Scartare" e "Negare".

A primo acchitto potrebbe sembrare la stessa cosa, ma in termine di funzionamento non è la stessa cosa.

Con DROP il pacchetto viene scartato e non viene data nessuna risposta (e quindi informazione) in merito. Per fare quindi un esempio pratico, nel caso del ping, non solo non si ha risposta negativa, ma si ha il classico "richiesta scaduta"

Con REJECT invece viene bensi allo stesso modo scartato il pacchetto, ma differenza di prima, viene restituito indietro un pacchetto ICMP con "destinazione irraggiungibile"

In questo modo si spera di evitare il problema della cattura dei banner, già solo "SPERARE".

Ecco perché non è però tutto ora ciò che luccica

Usando infatti uno scanner (ad esempio nmap) con Reject avremo "CONNECTION REJECT" invece di "CONNECTION ESTABLISHED", mente facendo la stessa cosa con il drop, avremo "CONNECTION TIMED OUT" invece di "CONNECTION ESTABLISHED".

Concludendo, di buona norma nella maggior parte dei casi si usa DROP al posto di REJECT, e ora sapete perché. Ma se giocate tutto su un DROP piuttosto che su REJECT la vostra sicurezza non vi mento che vi dico che siete più che vulnerabii.