linux – ¿Qué hace exactamente -A INPUT -j REJECT –reject-with icmp-host-protected Iptables?

Pregunta:

He estado leyendo la documentación de redhat iptables pero no puedo entender qué hacen las siguientes líneas:

... -j REJECT **--reject-with icmp-host-prohibited**   
... -j REJECT **--reject-with icmp-host-prohibited** 

Respuesta:

El objetivo REJECT rechaza el paquete. Si no especifica con qué mensaje ICMP rechazar, el servidor devolverá por defecto el puerto ICMP inaccesible (tipo 3, código 3).

--reject-with modifica este comportamiento para enviar un mensaje ICMP específico al host de origen. Puede encontrar información sobre --reject-with y los mensajes de rechazo disponibles en man iptables :

RECHAZAR

Esto se usa para devolver un paquete de error en respuesta al paquete coincidente: de lo contrario, es equivalente a DROP, por lo que es un OBJETIVO de terminación, el cruce de reglas de terminación. Este objetivo solo es válido en las cadenas INPUT, FORWARD y OUTPUT, y cadenas definidas por el usuario que solo se llaman desde esas cadenas. La siguiente opción controla la naturaleza del paquete de error devuelto:

 --reject-with type

El tipo dado puede ser:

  • icmp-net-inalcanzable
  • icmp-host-inalcanzable
  • icmp-port-unreachable
  • icmp-proto-inalcanzable
  • icmp-net-prohibido
  • icmp-host-prohibido o
  • icmp-admin-prohibido (*)

que devuelven el mensaje de error ICMP correspondiente (puerto inaccesible es el valor predeterminado). La opción tcp-reset se puede usar en reglas que solo coinciden con el protocolo TCP: esto hace que se envíe un paquete TCP RST. Esto es principalmente útil para bloquear sondas de identificación (113 / tcp) que ocurren con frecuencia al enviar correo a hosts de correo dañados (que de otra manera no aceptarán su correo).

(*) El uso de icmp-admin-prohibido con kernels que no lo admiten resultará en un DROP simple en lugar de REJECT

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım