ฉันได้อ่านเอกสาร iptables redhat แต่ไม่สามารถหาสิ่งที่บรรทัดต่อไปนี้ทำ:
... -j REJECT **--reject-with icmp-host-prohibited**
... -j REJECT **--reject-with icmp-host-prohibited**
ฉันได้อ่านเอกสาร iptables redhat แต่ไม่สามารถหาสิ่งที่บรรทัดต่อไปนี้ทำ:
... -j REJECT **--reject-with icmp-host-prohibited**
... -j REJECT **--reject-with icmp-host-prohibited**
คำตอบ:
REJECTเป้าหมายปฏิเสธแพ็คเก็ต หากคุณไม่ได้ระบุข้อความ ICMP ที่จะปฏิเสธด้วยโดยค่าเริ่มต้นเซิร์ฟเวอร์จะส่งกลับพอร์ต ICMP ที่ไม่สามารถเข้าถึงได้ (ประเภท 3 รหัส 3)
--reject-withปรับเปลี่ยนพฤติกรรมนี้เพื่อส่งข้อความ ICMP เฉพาะกลับไปยังโฮสต์ต้นทาง คุณสามารถค้นหาข้อมูลเกี่ยวกับ--reject-withและข้อความปฏิเสธที่มีอยู่ในman iptables:
ปฏิเสธ
สิ่งนี้ถูกใช้เพื่อส่งกลับแพ็คเก็ตข้อผิดพลาดในการตอบสนองต่อแพ็คเก็ตที่ตรงกัน: มิฉะนั้นมันจะเทียบเท่ากับ DROP ดังนั้นจึงเป็น TARGET ที่ยกเลิกซึ่งสิ้นสุดการแวะผ่านกฎ เป้าหมายนี้ใช้ได้เฉพาะในกลุ่ม INPUT, FORWARD และ OUTPUT และเชนที่ผู้ใช้กำหนดซึ่งจะถูกเรียกจากเชนเหล่านั้นเท่านั้น ตัวเลือกต่อไปนี้ควบคุมลักษณะของแพ็กเก็ตข้อผิดพลาดที่ส่งคืน:
--reject-with typeประเภทที่กำหนดสามารถ:
- ICMP สุทธิไม่สามารถเข้าถึงได้
- ICMP-โฮสต์ไม่สามารถเข้าถึงได้
- ICMP-พอร์ตไม่สามารถเข้าถึงได้
- ICMP-โปรไม่สามารถเข้าถึงได้
- ICMP สุทธิห้าม
- icmp โฮสต์ที่ต้องห้ามหรือ
- icmp-admin- ข้อห้าม (*)
ซึ่งส่งคืนข้อความแสดงข้อผิดพลาด ICMP ที่เหมาะสม (พอร์ตที่เข้าไม่ถึงเป็นค่าเริ่มต้น) ตัวเลือก tcp-reset สามารถใช้กับกฎที่ตรงกับโปรโตคอล TCP เท่านั้นซึ่งทำให้แพ็คเก็ต TCP RST ถูกส่งกลับ สิ่งนี้มีประโยชน์สำหรับการบล็อกโพรบ ident (113 / tcp) ซึ่งมักเกิดขึ้นเมื่อส่งเมลไปยังโฮสต์เมลที่เสียหาย (ซึ่งจะไม่ยอมรับเมลของคุณ)
(*) การใช้ icmp-admin- ต้องห้ามกับเมล็ดที่ไม่รองรับจะทำให้เกิด DROP แบบธรรมดาแทนการปฏิเสธ