-A INPUT -j REJECT --reject-with icmp-host-prohibited Iptables ラインは正確に何をしますか？

Question

宛先がREJECTパケットを拒否しました。拒否するICMPメッセージを指定しないと、サーバーはデフォルトで接続できないICMPポート（タイプ3、コード3）を再送信します。

--reject-with特定のICMPメッセージを元のホストに再送信するには、この動作を修正してください。拒否メッセージ--reject-withと利用可能な拒否メッセージに関する情報は、以下で確認できます。man iptables:

拒否する

一致するパケットに応答してエラーパケットを再送信するために使用されます。それ以外の場合はDROPと同じなので、TARGET終了、ルールパス終了です。このターゲットは、INPUT、FORWARD、およびOUTPUTチェーン内でのみ有効であり、これらのチェーンでのみ呼び出されるカスタムチェーンです。次のオプションは、返されるエラーパケットの特性を制御します。
--reject-with type
与えられたタイプは次のとおりです。

ICMPネットワークに接続できません

ICMPホストに接続できません

ICMP ポートに接続できません

ICMPプロトコルに接続できません

ICMPネットワークの禁止

ICMPホストが禁止されているか、

icmp 管理禁止(*)

適切なICMPエラーメッセージを返します（デフォルトはポートに接続できません）。 tcp-reset オプションは、TCP プロトコルとのみ一致するルールに使用できます。これにより、TCP RSTパケットが再送信されます。これは主に、破損したメールホストにメールを送信するときに頻繁に発生するident（113 / tcp）プローブを防ぐために使用されます（そうしないとメールは許可されません）。

(*) カーネルが icmp-admin-prohibited をサポートしていない場合、REJECT の代わりに DROP が発生します。

Answer 1

宛先がREJECTパケットを拒否しました。拒否するICMPメッセージを指定しないと、サーバーはデフォルトで接続できないICMPポート（タイプ3、コード3）を再送信します。

--reject-with特定のICMPメッセージを元のホストに再送信するには、この動作を修正してください。拒否メッセージ--reject-withと利用可能な拒否メッセージに関する情報は、以下で確認できます。man iptables:

拒否する

一致するパケットに応答してエラーパケットを再送信するために使用されます。それ以外の場合はDROPと同じなので、TARGET終了、ルールパス終了です。このターゲットは、INPUT、FORWARD、およびOUTPUTチェーン内でのみ有効であり、これらのチェーンでのみ呼び出されるカスタムチェーンです。次のオプションは、返されるエラーパケットの特性を制御します。
--reject-with type
与えられたタイプは次のとおりです。

ICMPネットワークに接続できません

ICMPホストに接続できません

ICMP ポートに接続できません

ICMPプロトコルに接続できません

ICMPネットワークの禁止

ICMPホストが禁止されているか、

icmp 管理禁止(*)

適切なICMPエラーメッセージを返します（デフォルトはポートに接続できません）。 tcp-reset オプションは、TCP プロトコルとのみ一致するルールに使用できます。これにより、TCP RSTパケットが再送信されます。これは主に、破損したメールホストにメールを送信するときに頻繁に発生するident（113 / tcp）プローブを防ぐために使用されます（そうしないとメールは許可されません）。

(*) カーネルが icmp-admin-prohibited をサポートしていない場合、REJECT の代わりに DROP が発生します。

-A INPUT -j REJECT --reject-with icmp-host-prohibited Iptables ラインは正確に何をしますか？

答え1

拒否する

関連情報