Відповіді:
REJECTЦільовий відкидає пакет. Якщо ви не вказали, з яким ICMP-повідомленням потрібно відхилити, сервер за замовчуванням відправить назад ICMP-порт недоступним (тип 3, код 3).
--reject-withмодифікує цю поведінку, щоб відправити конкретне повідомлення ICMP назад на вихідний хост. Інформацію про --reject-withдоступні повідомлення та повідомлення про відхилення ви можете знайти в man iptables:
ОТХОДИТИ
Застосовується для повернення пакета помилок у відповідь на відповідність пакету: інакше він еквівалентний DROP, тому він закінчує ТАРГЕТ, закінчуючи проходження правила. Ця ціль дійсна лише в ланцюгах INPUT, FORWARD та OUTPUT та визначених користувачем ланцюжках, які викликаються лише з цих ланцюгів. Наступна опція контролює характер повернутого пакета помилок:
--reject-with typeТип може бути:
- icmp-net-недоступний
- icmp-хост-недоступний
- icmp-порт недоступний
- icmp-прото-недосяжний
- icmp-net-заборонено
- icmp-хост-заборонено або
- icmp-admin-заборонено (*)
які повертають відповідне повідомлення про помилку ICMP (недоступний порт - це за замовчуванням). Опція tcp-reset може використовуватися для правил, які відповідають лише протоколу TCP: це призводить до повернення пакета TCP RST назад. Це в основному корисно для блокування ідентифікаційних ідентифікаторів (113 / tcp), які часто трапляються при надсиланні пошти розбитим хостам пошти (які не приймуть вашу пошту інакше).
(*) Використання icmp-admin із забороненими ядрами, які не підтримують його, призведе до простого DROP замість REJECT