Чому я не можу використовувати політику REJECT у своїй мережі iptables OUTPUT?

Наразі мій ланцюг OUTPUT встановлений на DROP. Я хотів би змінити його на REJECT, щоб у мене з'ясувалося, що мій брандмауер перешкоджає мені дістатися кудись, а не проблему з будь-якою службою, до якої я намагаюся отримати доступ (негайне відхилення замість вичерпання часу). Однак, здається, iptables не переймаються цим. Якщо я вручну редагую збережений файл правил і намагаюся його відновити, я отримую, iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy nameі він відмовляється завантажувати правила. Якщо я спробую встановити це вручну ( iptables -P OUTPUT REJECT), я отримаю, iptables: Bad policy name. Run 'dmesg' for more information.але в dmesg виводу немає.

Я підтвердив, що відповідне правило збирається в ядро, і я перезавантажився, щоб переконатися, що він завантажений:

# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y

(Зірочки додані, щоб виділити застосовне правило)

Все, що я можу знайти, стверджує, що REJECT - це дійсна політика / ціль (загалом), але я не можу знайти нічого, що говорить, що це недійсно для ланцюгів INPUT, FORWARD або OUTPUT. Мій Google-фу не допомагає. Я на Gentoo, якщо це має значення. Хтось тут має якусь інформацію?

REJECTє розширенням цілі , тоді як ланцюгова політика повинна бути цільовою . На сторінці чоловіка сказано, що (хоча це не зовсім зрозуміло), але щось із цього, що йдеться, є неправильним.

Політика може бути тільки ACCEPTабо DROPна вбудованому в ланцюгах. Якщо ви хочете, щоб ефект відхилення всіх пакетів, які не відповідають попереднім правилам, просто переконайтеся, що останнє правило відповідає всім, і додайте правило з REJECTцільовим розширенням. Іншими словами, після додавання всіх відповідних правил, зробіть iptables -t filter -A OUTPUT -j REJECT.

Детальнішу інформацію див. У розділі "які можливі політики ланцюжкової політики" у списку netfilter.

Я не міг знайти це документально зафіксованим, але тут посилання вказує на те, що єдині дозволені політики - це ACCEPTor DROP. Це підтверджується, дивлячись на джерело з libiptc(який відповідає за зміну правил) навколо лінії 2429, де код має

2429         if (strcmp(policy, LABEL_ACCEPT) == 0)
2430                 c->verdict = -NF_ACCEPT - 1;
2431         else if (strcmp(policy, LABEL_DROP) == 0)
2432                 c->verdict = -NF_DROP - 1;
2433         else {
2434                 errno = EINVAL;
2435                 return 0;
2436         }

Оригінальна нитка підказує, що найкраще зробити це додати REJECT на кінці ланцюжка, який повинен бути iptables -A OUTPUT -j REJECT.

Зауважте, що код перед цим:

2423         if (!iptcc_is_builtin(c)) {
2424                 DEBUGP("cannot set policy of userdefinedchain `%s'\n", chain);
2425                 errno = ENOENT;
2426                 return 0;
2427         }
2428 

Таким чином, ви не можете взагалі встановити політику на визначеній користувачем ланцюжку.

REJECTна OUTPUTнемає сенсу; a REJECTповерне пакет ICMP, який повинен пройти через мережу.

Додайте нове -j LOGяк своє останнє правило (тому перед DROPполітикою), щоб побачити, що потрапляє так далеко в OUTPUTланцюг.