问-A输入-j拒绝--拒绝--与icmp--主机禁止的Iptables行--到底做了什么？

EN

REJECT目标拒绝数据包。如果您没有指定要拒绝哪个ICMP消息，服务器默认情况下将返回无法访问的ICMP端口(类型3，代码3)。

--reject-with修改此行为以将特定的ICMP消息发送回源主机。您可以在--reject-with中找到有关man iptables和可用的拒绝消息的信息：

拒绝--这用于响应匹配的数据包发送错误数据包:否则，它等同于丢弃，因此它是一个终止目标，结束规则遍历。此目标仅在输入、前向和输出链以及用户定义的仅从这些链调用的链中有效。以下选项控制返回的错误数据包的性质：-拒绝-类型为：

• icmp-网络-不可及
• icmp-主机-无法到达
• icmp-端口-无法到达
• icmp-原-达不到
• icmp-网-禁止
• icmp-被禁止或
• icmp-行政-禁止(*)

返回适当的ICMP错误消息(端口不可达是默认的)。选项tcp-reset可用于仅与TCP协议匹配的规则:这将导致TCP数据包被发回。这主要用于阻塞ident (113/tcp)探测，在将邮件发送到损坏的邮件主机(否则不会接受您的邮件)时经常发生这种情况。(*)不支持它的内核禁止使用icmp-admin-将导致普通丢弃而不是拒绝。