1

iptables は、TCP_RST または ICMP_HOST_UNREACHABLE パケットをソースに送り返すなどのアクションでパケットを拒否するように構成できます。このような:

iptables -A INPUT -p TCP --dport 22 -j REJECT --reject-with tcp-reset

IPTables がホストに送り返す TCP_RST セグメントの「srcIp」として使用するアドレスは? 受信したパケットの「destIp」ですか? それとも、パケットを受信したインターフェイスで構成された IP アドレスですか?

4

1 に答える 1

1

テーブルはINPUT、destIp がホストによって「所有」されているパケットのみに影響します。送信者は destIp からの応答を期待しているため、TCP_RST元の destIp が srcIp として返されます。TCP_RSTが他のアドレスから返された場合、元の送信者は、送信したパケットへの返信としてそれを認識しません。

于 2012-12-01T03:23:54.837 に答える