回答:
REJECTターゲットは、パケットを拒否します。拒否するICMPメッセージを指定しない場合、サーバーはデフォルトでICMPポートに到達不能(タイプ3、コード3)を送り返します。
--reject-withこの動作を変更して、特定のICMPメッセージを送信元ホストに送り返します。の情報--reject-withと使用可能な拒否メッセージは、man iptables次の場所にあります。
拒否
これは、一致したパケットへの応答としてエラーパケットを送り返すために使用されます。それ以外の場合はDROPと同等であるため、TARGETを終了し、ルールトラバーサルを終了します。このターゲットは、INPUT、FORWARD、およびOUTPUTチェーン、およびこれらのチェーンからのみ呼び出されるユーザー定義チェーンでのみ有効です。次のオプションは、返されるエラーパケットの性質を制御します。
--reject-with type指定できるタイプは次のとおりです。
- icmp-net-unreachable
- icmp-host-unreachable
- icmp-port-unreachable
- icmp-proto-unreachable
- icmp-net-prohibited
- icmp-host-prohibitedまたは
- icmp-admin-prohibited(*)
適切なICMPエラーメッセージを返します(デフォルトはポート到達不能です)。オプションtcp-resetは、TCPプロトコルのみに一致するルールで使用できます。これにより、TCP RSTパケットが送り返されます。これは主に、壊れたメールホストにメールを送信するときに頻繁に発生するident(113 / tcp)プローブをブロックするのに役立ちます(そうでない場合はメールを受け入れません)。
(*)icmp-admin-prohibitedをサポートしていないカーネルで使用すると、REJECTの代わりに単純なDROPが発生します