Antworten:
Das REJECTZiel weist das Paket zurück. Wenn Sie nicht angeben, mit welcher ICMP-Nachricht abgelehnt werden soll, sendet der Server standardmäßig einen nicht erreichbaren ICMP-Port zurück (Typ 3, Code 3).
--reject-withändert dieses Verhalten, um eine bestimmte ICMP-Nachricht an den Quellhost zurückzusenden. Informationen zu --reject-withund die verfügbaren Ablehnungsmeldungen finden Sie unter man iptables:
ABLEHNEN
Dies wird verwendet, um ein Fehlerpaket als Antwort auf das übereinstimmende Paket zurückzusenden. Andernfalls entspricht es DROP, sodass es ein abschließendes ZIEL ist und die Regelüberquerung beendet. Dieses Ziel ist nur in den Ketten INPUT, FORWARD und OUTPUT sowie in benutzerdefinierten Ketten gültig, die nur von diesen Ketten aufgerufen werden. Die folgende Option steuert die Art des zurückgegebenen Fehlerpakets:
--reject-with typeDer angegebene Typ kann sein:
- icmp-net-unreachable
- icmp-host-nicht erreichbar
- icmp-port-nicht erreichbar
- icmp-proto-unreachable
- icmp-net-verboten
- icmp-host-verboten oder
- icmp-admin-verboten (*)
die die entsprechende ICMP-Fehlermeldung zurückgeben (Port nicht erreichbar ist die Standardeinstellung). Die Option tcp-reset kann für Regeln verwendet werden, die nur dem TCP-Protokoll entsprechen: Dadurch wird ein TCP-RST-Paket zurückgesendet. Dies ist hauptsächlich nützlich, um Ident-Tests (113 / tcp) zu blockieren, die häufig auftreten, wenn E-Mails an defekte Mail-Hosts gesendet werden (die Ihre E-Mails sonst nicht annehmen).
(*) Die Verwendung von icmp-admin-disabled mit Kerneln, die dies nicht unterstützen, führt zu einem einfachen DROP anstelle von REJECT