-A INPUT -j REJECT --reject-with icmp-host-prohibited Iptables行は正確に何をしますか?


35

私はredhat iptablesのドキュメントを読んでいますが、次の行が何をするのかわかりません。

... -j REJECT **--reject-with icmp-host-prohibited**   
... -j REJECT **--reject-with icmp-host-prohibited** 

回答:


37

REJECTターゲットは、パケットを拒否します。拒否するICMPメッセージを指定しない場合、サーバーはデフォルトでICMPポートに到達不能(タイプ3、コード3)を送り返します。

--reject-withこの動作を変更して、特定のICMPメッセージを送信元ホストに送り返します。の情報--reject-withと使用可能な拒否メッセージは、man iptables次の場所にあります。

拒否

これは、一致したパケットへの応答としてエラーパケットを送り返すために使用されます。それ以外の場合はDROPと同等であるため、TARGETを終了し、ルールトラバーサルを終了します。このターゲットは、INPUT、FORWARD、およびOUTPUTチェーン、およびこれらのチェーンからのみ呼び出されるユーザー定義チェーンでのみ有効です。次のオプションは、返されるエラーパケットの性質を制御します。

--reject-with type

指定できるタイプは次のとおりです。

  • icmp-net-unreachable
  • icmp-host-unreachable
  • icmp-port-unreachable
  • icmp-proto-unreachable
  • icmp-net-prohibited
  • icmp-host-prohibitedまたは
  • icmp-admin-prohibited(*)

適切なICMPエラーメッセージを返します(デフォルトはポート到達不能です)。オプションtcp-resetは、TCPプロトコルのみに一致するルールで使用できます。これにより、TCP RSTパケットが送り返されます。これは主に、壊れたメールホストにメールを送信するときに頻繁に発生するident(113 / tcp)プローブをブロックするのに役立ちます(そうでない場合はメールを受け入れません)。

(*)icmp-admin-prohibitedをサポートしていないカーネルで使用すると、REJECTの代わりに単純なDROPが発生します

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.