Was genau macht die Zeile -A INPUT -j REJECT --reject-with icmp-host-disabled Iptables?


35

Ich habe die redhat iptables-Dokumentation gelesen, kann aber nicht herausfinden, was die folgenden Zeilen bewirken:

... -j REJECT **--reject-with icmp-host-prohibited**   
... -j REJECT **--reject-with icmp-host-prohibited** 

Antworten:


37

Das REJECTZiel weist das Paket zurück. Wenn Sie nicht angeben, mit welcher ICMP-Nachricht abgelehnt werden soll, sendet der Server standardmäßig einen nicht erreichbaren ICMP-Port zurück (Typ 3, Code 3).

--reject-withändert dieses Verhalten, um eine bestimmte ICMP-Nachricht an den Quellhost zurückzusenden. Informationen zu --reject-withund die verfügbaren Ablehnungsmeldungen finden Sie unter man iptables:

ABLEHNEN

Dies wird verwendet, um ein Fehlerpaket als Antwort auf das übereinstimmende Paket zurückzusenden. Andernfalls entspricht es DROP, sodass es ein abschließendes ZIEL ist und die Regelüberquerung beendet. Dieses Ziel ist nur in den Ketten INPUT, FORWARD und OUTPUT sowie in benutzerdefinierten Ketten gültig, die nur von diesen Ketten aufgerufen werden. Die folgende Option steuert die Art des zurückgegebenen Fehlerpakets:

--reject-with type

Der angegebene Typ kann sein:

  • icmp-net-unreachable
  • icmp-host-nicht erreichbar
  • icmp-port-nicht erreichbar
  • icmp-proto-unreachable
  • icmp-net-verboten
  • icmp-host-verboten oder
  • icmp-admin-verboten (*)

die die entsprechende ICMP-Fehlermeldung zurückgeben (Port nicht erreichbar ist die Standardeinstellung). Die Option tcp-reset kann für Regeln verwendet werden, die nur dem TCP-Protokoll entsprechen: Dadurch wird ein TCP-RST-Paket zurückgesendet. Dies ist hauptsächlich nützlich, um Ident-Tests (113 / tcp) zu blockieren, die häufig auftreten, wenn E-Mails an defekte Mail-Hosts gesendet werden (die Ihre E-Mails sonst nicht annehmen).

(*) Die Verwendung von icmp-admin-disabled mit Kerneln, die dies nicht unterstützen, führt zu einem einfachen DROP anstelle von REJECT

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.