Что такое -A INPUT -j REJECT --reject - с помощью строки Iptables, запрещенной icmp-host?

Что делают следующие строки? Я читал документацию redhat iptables, но не могу понять.

... -j REJECT - отказ - с запретом icmp-host
... -j REJECT - reject-with icmp-host-forbidden

28 голосов | спросил David 14 AMpMon, 14 Apr 2014 09:39:56 +040039Monday 2014, 09:39:56

1 ответ


28

Цель REJECT отклоняет пакет. Если вы не укажете, какое ICMP-сообщение будет отклонено, сервер по умолчанию отправит ICMP-порт недостижимым (тип 3, код 3).

--reject-with изменяет это поведение, чтобы отправить конкретное сообщение ICMP на исходный хост. Вы можете найти информацию о --reject-with и доступных отклоняющих сообщениях в man iptables :

  

БРАК

     

Это используется для отправки обратно пакета ошибок в ответ на согласованный пакет: в противном случае он эквивалентен DROP, так что это завершающий TARGET, завершающий обход правила. Эта цель действительна только в цепях INPUT, FORWARD и OUTPUT и определяемых пользователем цепочек, которые вызывается только из этих цепей. Следующий параметр управляет природой возвращаемого пакета ошибок:

--reject-with type
     

Указанный тип может быть:

     
  • ICMP-сеть-недостижимый
  •   
  • ICMP-хост-недостижимый
  •   
  • ICMP-порт-недостижимый
  •   
  • ICMP-прото-недостижимым
  •   
  • ICMP-сетчатый запрещено
  •   
  • запрещено icmp-host или
  •   
  • icmp-admin-forbidden (*)
  •   

, которые возвращают соответствующее сообщение об ошибке ICMP (по умолчанию недопустимо значение порта). Опция tcp-reset может использоваться в правилах, которые соответствуют протоколу TCP: это вызывает отправку пакета TCP RST. Это в основном полезно для блокировки идентификаторов (113 /tcp), которые часто возникают при отправке почты на поврежденные почтовые узлы (которые в противном случае не будут принимать вашу почту).

     

(*) Использование icmp-admin запрещено с ядрами, которые не поддерживают его, приведет к простому DROP вместо REJECT

ответил Chris Down 14 AMpMon, 14 Apr 2014 09:53:25 +040053Monday 2014, 09:53:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132