reject-with icmp-host 是iptables 中 REJECT 动作的一个选项,用于指定当数据包被拒绝时,向发送方发送的 ICMP 消息类型。icmp-host 表示发送 ICMP 主机不可达消息(ICMP 类型 3,代码 1)。这意味着当 iptables 规则匹配到某个数据包并决定拒绝它时,会向发送方发送一个 ICMP 主机不可达消息,告知对方连接被拒绝是...
REJECT动作的常用选项为--reject-with 使用--reject-with选项,可以设置提示信息,当对方被拒绝时,会提示对方为什么被拒绝。 可用值如下: icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-host-pro-hibited icmp-admin-prohibited 当不设置任何值时,...
iptables -I INPUT -s 192.168.1.146 -j REJECT 还可以用–reject-with来设置提示信息,可选值有: icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable, icmp-proto-unreachable icmp-net-prohibited icmp-host-pro-hibited icmp-admin-prohibited 当不设置任何值时,默认值为icmp-port-unreachable。
但规则却在-A INPUT -j REJECT --reject-with icmp-host-prohibited之后,防火墙规则读取是由上至下,当读取到该规则后,65005这条新增规则就不会被读取,导致65005依然不能被访问,所以要么使用iptables -I插入到最上面(也可以指定序号),要么通过手动添加规则到该规则前面即可(vim/etc/sysconfig/iptables)...
拦截网络也是类似的: iptables -A INPUT -i $IF_PUB -s 10.67.232.0/24 -jREJECT --reject-with icmp-net-prohibited这条规则拒绝到达公网接口的、源地址为10.67.232.0/24的网络。这次该传输的发送方会收到一条ICMP网络禁止的消息。
REJECT动作的常用选项为--reject-with 使用--reject-with选项,可以设置提示信息,当对方被拒绝时,会提示对方为什么被拒绝。可用值如下 当不设置任何值时,默认值为icmp-port-unreachable。 icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable
iptables -I : 新加一条规则链 iptables -A :增加一条规则链 iptables -I 添加的规则放在现有规则的最前面,iptables -A 放在现有规则的最后。 保存配置:/sbin/service iptables save iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited ...
2 条规则ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <==第 3 条规则ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 <==以下类推REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibitedChain FORWARD (policy DROP)target ...
你要明确几点 1、iptables是通过各种规则组合起来完成一项任务的,不是简单一条语句就可以的 2、从你的问题里面可以看出,你不清楚-j REJECT --reject-with icmp-host-prohibited 的意思,这个不是阻止ping,而是返回一个路由不可达的信息 3、iptables是不能防止DDOS的 ...
iptables -t filter -I INPUT 2 -j REJECT --reject-with icmp-host-unreachable 在序号为2处插入该规则,保证第一条规则起作用(维持ssh连接) 现在,我们再来ping主机,看提示信息会有什么变化 可以看到,提示信息从端口不可达变成了主机不可达,其余的选项,可以根据需要添加 ...