Risposte:
Il REJECTtarget rifiuta il pacchetto. Se non si specifica con quale messaggio ICMP rifiutare, per impostazione predefinita il server invierà la porta ICMP non raggiungibile (tipo 3, codice 3).
--reject-withmodifica questo comportamento per inviare un messaggio ICMP specifico all'host di origine. Puoi trovare informazioni --reject-withe messaggi di rifiuto disponibili in man iptables:
RIFIUTARE
Questo è usato per rispedire un pacchetto di errori in risposta al pacchetto abbinato: altrimenti è equivalente a DROP quindi è un TARGET di terminazione, che termina il traversal di regole. Questo target è valido solo nelle catene INPUT, FORWARD e OUTPUT e nelle catene definite dall'utente che vengono chiamate solo da quelle catene. La seguente opzione controlla la natura del pacchetto di errori restituito:
--reject-with typeIl tipo indicato può essere:
- icmp-net-irraggiungibile
- icmp-host-irraggiungibile
- icmp-port-unreachable
- icmp-proto-irraggiungibile
- icmp-net-proibiti
- icmp-host-proibito o
- icmp-admin-vietato (*)
che restituiscono il messaggio di errore ICMP appropriato (porta non raggiungibile è l'impostazione predefinita). L'opzione tcp-reset può essere utilizzata su regole che corrispondono solo al protocollo TCP: questo fa sì che un pacchetto TCP RST venga rispedito. Ciò è utile soprattutto per bloccare i probe ident (113 / tcp) che si verificano frequentemente quando si invia posta a host di posta non funzionanti (che altrimenti non accetteranno la posta).
(*) L'uso di icmp-admin-proibito con kernel che non lo supportano comporterà un DROP semplice invece di REJECT