Mieux vaut bloquer un hôte à 0.0.0.0 qu'à 127.0.0.1?

11

J'ai quelques hôtes que je voudrais bloquer dans mon /etc/hostsfichier. Pour cela, je dois définir une adresse IP fausse à laquelle les requêtes DNS sont résolues.

La plupart des tutoriels que j'ai vus jusqu'à présent mentionnent tous 127.0.0.1comme la solution à cela. Mais je me demandais s'il y avait peut-être une meilleure adresse ou une autre, qui pourrait déjà annuler la connexion plus tôt.

Je pensais donc à utiliser 0.0.0.0dans mon hostsfichier. Pensez-vous que cela fonctionnerait de la même manière que 127.0.0.1pour bloquer certains hôtes?

comfreak
la source
Sauf si vous avez un serveur Web exécuté sur localhost, vous vous retrouverez probablement avec le même résultat. (Le serveur Web peut cependant répondre s'il est là). Je suppose que 0.0.0.0 serait légèrement plus rapide car votre ordinateur n'a pas besoin de traiter la demande.
cascer1

Réponses:

7

Sous Windows, il y a une différence: les paquets envoyés 127.0.0.1finissent par bombarder le serveur que vous avez en cours d'exécution sur votre ordinateur (et vous pouvez exécuter un serveur sans le savoir ), tandis que tenter d'envoyer des paquets 0.0.0.0retournera immédiatement avec un code d'erreur 1214( ERROR_INVALID_NETNAME ).

TL; DR: Utiliser 0.0.0.0

kinokijuf
la source
C'est ce que je voulais dire. Mais je pense que ce comportement est le même sur tous les systèmes d'exploitation modernes. Je n'étais tout simplement pas sûr s'il y avait un problème avec le retour 0.0.0.0, car peut-être que certains logiciels ne pourraient pas gérer cette adresse inattendue?
comfreak
1

Ils sont (généralement) les mêmes, et les paquets finissent par être les mêmes: bombarder votre propre hôte avec les demandes et du temps et du trafic (sur l'interface locale) gaspillant une infime quantité de ressources. (Il en va de même pour n'importe quelle adresse dans 127.0.0.0/8, disons, 127.2.3.4.)

Au fait, cela ne fonctionne bien que si votre hôte n'exécute pas le service que vous souhaitez bloquer (comme l'utiliser pour bloquer les serveurs Web alors que votre hôte a un serveur Web), sinon vous obtiendrez des réponses de votre propre serveur. L'utilisation d'une adresse définitivement inexistante (par exemple, 192.168.255.254) empêcherait cela, mais entraînerait des retards dus à un hôte inaccessible pour les connexions.

Le blocage par pare-feu fonctionne généralement mieux. :-)

sourire
la source