REJECT动作的常用选项为--reject-with 使用--reject-with选项,可以设置提示信息,当对方被拒绝时,会提示对方为什么被拒绝。 可用值如下: icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-h
reject-with icmp-host 是iptables 中 REJECT 动作的一个选项,用于指定当数据包被拒绝时,向发送方发送的 ICMP 消息类型。icmp-host 表示发送 ICMP 主机不可达消息(ICMP 类型 3,代码 1)。这意味着当 iptables 规则匹配到某个数据包并决定拒绝它时,会向发送方发送一个 ICMP 主机不可达消息,告知对方连接被拒绝是...
但规则却在-A INPUT -j REJECT --reject-with icmp-host-prohibited之后,防火墙规则读取是由上至下,当读取到该规则后,65005这条新增规则就不会被读取,导致65005依然不能被访问,所以要么使用iptables -I插入到最上面(也可以指定序号),要么通过手动添加规则到该规则前面即可(vim/etc/sysconfig/iptables)...
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 这条命令的的解释: 从结果上来看,这条规则的作用是拒绝所有 -j REJECT在iptables帮助文档里面有一下说明This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to DROP so it ...
拦截网络也是类似的: iptables -A INPUT -i $IF_PUB -s 10.67.232.0/24 -jREJECT --reject-with icmp-net-prohibited这条规则拒绝到达公网接口的、源地址为10.67.232.0/24的网络。这次该传输的发送方会收到一条ICMP网络禁止的消息。
iptables -I : 新加一条规则链 iptables -A :增加一条规则链 iptables -I 添加的规则放在现有规则的最前面,iptables -A 放在现有规则的最后。 保存配置:/sbin/service iptables save iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited ...
icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。这个是iptables的默认策略,你也可以删除这些,另外建立符合自己需求的策略。
iptables -I INPUT -s 192.168.1.146 -j REJECT 还可以用–reject-with来设置提示信息,可选值有: icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable, icmp-proto-unreachable icmp-net-prohibited icmp-host-pro-hibited icmp-admin-prohibited ...
放行-AINPUT-p icmp-jACCEPT// 3 本机的loopback网卡的包,放行-AINPUT-i lo-jACCEPT// 4 对于本机的ssh连接请求包,放行-AINPUT-p tcp-m state--stateNEW-m tcp--dport22-jACCEPT// 5 其他的包,都拒绝-AINPUT-jREJECT--reject-withicmp-host-prohibited-AFORWARD-jREJECT--reject-withicmp-host-...
cni flannel iptables -t filter -D FORWARD -j REJECT --reject-with icmp-host-prohibited [root@centos7 ~]# kubectl exec -it nginx-app-56b5bb67cc-6hjgt -- ls /sys/class/net/eth0 lo [root@centos7~]# kubectl exec -it nginx-app-56b5bb67cc-6hjgt -- ls /sys/class/net/eth0...