1

可以将 iptables 配置为通过将 TCP_RST 或 ICMP_HOST_UNREACHABLE 数据包发送回源等操作来拒绝数据包。像这样:

iptables -A INPUT -p TCP --dport 22 -j REJECT --reject-with tcp-reset

IPTables 使用什么地址作为它发送回主机的 TCP_RST 段的“srcIp”?它是它收到的数据包的“destIp”吗?或者,它是在接收数据包的接口上配置的 IP 地址吗?

4

1 回答 1

1

INPUT表仅影响其 destIp 由主机“拥有”的那些数据包。由于发送者期待来自 destIp 的响应,因此TCP_RST将返回原始 destIp 作为其 srcIp。如果TCP_RST从任何其他地址返回,则原始发送者不会将其识别为对其传输的数据包的回复。

于 2012-12-01T03:23:54.837 回答