Điều gì -A INPUT -j DỰ ÁN - phản hồi-với dòng Iptables bị cấm icmp-host bị cấm chính xác?


35

Tôi đã đọc tài liệu iptables đỏ nhưng không thể hiểu các dòng sau đây làm gì:

... -j REJECT **--reject-with icmp-host-prohibited**   
... -j REJECT **--reject-with icmp-host-prohibited** 

Câu trả lời:


37

Các REJECTmục tiêu từ chối gói tin. Nếu bạn không chỉ định tin nhắn ICMP nào sẽ từ chối, máy chủ theo mặc định sẽ gửi lại cổng ICMP không thể truy cập (loại 3, mã 3).

--reject-withsửa đổi hành vi này để gửi một thông điệp ICMP cụ thể trở lại máy chủ nguồn. Bạn có thể tìm thấy thông tin về --reject-withvà các tin nhắn từ chối có sẵn trong man iptables:

TỪ CHỐI

Điều này được sử dụng để gửi lại một gói lỗi để đáp ứng với gói phù hợp: nếu không thì nó tương đương với DROP vì vậy nó là một TARGET kết thúc, kết thúc quá trình truyền tải quy tắc. Mục tiêu này chỉ hợp lệ trong các chuỗi INPUT, FORWARD và OUTPUT và các chuỗi do người dùng xác định chỉ được gọi từ các chuỗi đó. Tùy chọn sau đây kiểm soát bản chất của gói lỗi được trả về:

--reject-with type

Loại đã cho có thể là:

  • icmp-net không thể truy cập
  • icmp-host-không truy cập được
  • icmp-port không thể truy cập
  • icmp-proto-không thể truy cập
  • icmp-net bị cấm
  • icmp-host-bị cấm hoặc
  • icmp-admin bị cấm (*)

trả về thông báo lỗi ICMP thích hợp (không thể truy cập cổng là mặc định). Tùy chọn tcp-reset có thể được sử dụng theo các quy tắc chỉ khớp với giao thức TCP: điều này khiến gói TCP RST được gửi trở lại. Điều này chủ yếu hữu ích để chặn các đầu dò nhận dạng (113 / tcp) thường xảy ra khi gửi thư đến các máy chủ thư bị hỏng (không chấp nhận thư của bạn nếu không).

(*) Sử dụng icmp-admin bị cấm với các kernel không hỗ trợ, nó sẽ dẫn đến DROP đơn giản thay vì RE DỰ ÁN

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.