มีตัวอย่างของกฎ iptables ใน archlinux wiki:
# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:TCP - [0:0]
:UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sun Mar 17 14:21:12 2013
ไม่กี่วันที่ผ่านมาเพื่อนของฉันถามฉันว่าทำไมถึงมีREJECTกฎสามข้อสุดท้าย เขาบอกผมว่าควรจะมีแทนและเขากล่าวถึงบางสิ่งบางอย่างเกี่ยวกับการรักษาความปลอดภัยที่ดีขึ้นในกรณีของDROPDROP
ดังนั้นฉันมีสองคำถาม:
กฎสามข้อนี้ทำอะไร
มันสร้างความแตกต่างใด ๆ เมื่อฉันใส่มี
DROPในสถานที่REJECT --reject-with? ถ้าใช่ความแตกต่างคืออะไร?
3
คำถามที่คล้ายกันเกี่ยวกับความปลอดภัยของข้อมูล : ปฏิเสธแพ็กเก็ต IP ที่มีข้อผิดพลาด ICMP หรือเพียงแค่ปล่อยมัน
—
Gilles 'หยุดชั่วร้าย'