Answers:
在REJECT目标拒绝数据包。如果未指定拒绝使用哪个ICMP消息,则默认情况下,服务器将发回无法访问的ICMP端口(类型3,代码3)。
--reject-with修改此行为以将特定的ICMP消息发送回源主机。您可以在中找到有关的信息--reject-with以及可用的拒绝消息man iptables:
拒绝
它用于响应匹配的数据包而发送回一个错误数据包:否则,它等效于DROP,因此它是终止TARGET,终止规则遍历。此目标仅在INPUT,FORWARD和OUTPUT链以及仅从这些链中调用的用户定义的链中有效。以下选项控制返回的错误包的性质:
--reject-with type给定的类型可以是:
- icmp-net-unreachable
- icmp主机无法访问
- icmp-port-unreachable
- icmp-proto-unreachable
- icmp-net禁止
- icmp-host-prohibited或
- icmp-admin禁止(*)
它返回适当的ICMP错误消息(默认端口为unreachable)。选项tcp-reset可以用于仅与TCP协议匹配的规则:这将导致发送回TCP RST数据包。这主要用于阻止ident(113 / tcp)探测,该探测在向破碎的邮件主机发送邮件时经常发生(否则将不接受您的邮件)。
(*)将icmp-admin-prohibited与不支持它的内核一起使用将导致普通的DROP而不是REJECT