मान लीजिए मेरे पास एक निजी इंटरफ़ेस और एक सार्वजनिक इंटरफ़ेस वाला सर्वर है। सार्वजनिक में HTTP (S) सर्वर जैसी चीजें हो सकती हैं, निजी में MySQL और SSH हो सकते हैं।
जाहिर है कि यह जांचने के लिए कि उनके संबंधित इंटरफेस पर सेवाएं चल रही हैं, नागोस उपयोगी है। लेकिन क्या चेक का निर्माण करना एक अच्छा विचार है जो स्पष्ट रूप से परीक्षण करता है कि सार्वजनिक इंटरफ़ेस पर MySQL और SSH पोर्ट नहीं खुले हैं ? यह विचार अनजाने गलत धारणाओं को पकड़ने के लिए है जिन्होंने ऐसी सेवाओं को खोल दिया है जो निजी होनी चाहिए, और उचित रूप से सतर्क होनी चाहिए।
मेरे हिस्से में यह विचार है कि यह बहुत अच्छी तरह से पैमाने पर नहीं होगा - कल्पना करें कि एक iptables DROP नियम है, उदाहरण के लिए, चेक को पूरा होने तक इंतजार करना होगा और इससे पहले कि यह पूरा हो जाए और आगे बढ़ जाए। लेकिन उस समय-सीमा को पर्याप्त रूप से उच्च होना चाहिए ताकि एक अवरुद्ध सेवा को एक खुले से अलग करने में सक्षम हो सके जो वास्तव में बंद है।
क्या यह एक व्यावहारिक विचार है? क्या नागियोस सही उपकरण है? मैंने टीसीपी चेक प्लगइन्स से परिणाम की उपेक्षा करने की व्यवहार्यता पर ध्यान नहीं दिया है, लेकिन मुझे यकीन है कि यह संभव है ...
DROP
इस तरह के उद्देश्य के लिए उचित लक्ष्य नहीं है, इसका उपयोग-j REJECT --reject-with tcp-reset
करने से उस विशेष समस्या का समाधान होगा। मेरे लिए आपके प्रश्न केREJECT
बजाय उपयोग करने के लिए सिर्फ एक और कारण लगता हैDROP
।