Telnet para uma porta fechada não responde connnection recusada

Muitos firewalls "ocultam" uma porta em vez de "fechar" a porta. O que isto significa é, em vez de enviar de volta afirmativamente uma "Conexão Recusada", em vez disso, ele desperdiçará o tempo do cliente fazendo com que ele ache que receberá uma resposta antes de seu próprio tempo limite. Dessa maneira, o raciocínio é que a varredura de porta de um invasor em potencial é menos útil, pois é impossível dizer quais portas estão realmente fechadas e quais podem simplesmente ter serviços lentos ou atualmente não responsivos por trás delas. Isso também significa que um invasor astuto não pode fazer com que o alvo desperdice seu tempo enviando uma tonelada de pacotes "desculpe, estamos fechados" em vez de nada.

Embora as regras de firewall mais usadas sejam allow e deny , geralmente há outra opção disponível, geralmente chamada de reject . UFW também tem isso.

A diferença entre "negar" e "rejeitar" é que, enquanto "negar" faz com que o firewall ignore completamente que um pacote foi recebido, "rejeitar" faz com que o firewall sempre envie o erro "desculpe, estamos fechados" > em nome do destinatário real , se existe ou não algum serviço realmente escutando conexões de entrada ou não.

A maioria dos sistemas operacionais, e definitivamente qualquer firewall razoavelmente decente, sempre dará uma prioridade muito baixa à tarefa de enviar os pacotes "desculpe, estamos fechados" - então se o sistema tiver algo um pouco mais importante coisas a fazer, esses pacotes serão atrasados ou completamente omitidos, firewall ou nenhum firewall.

Portanto, se você quiser bloquear algo em um firewall e ainda precisar de tentativas de conexão para essa porta falhar rapidamente com um erro "conexão recusada", use uma regra reject em seu firewall em vez do padrão deny .