La cible REJECT fonctionne à la base comme la cible DROP, mais elle renvoit un message d'erreur à l'hôte qui a envoyé le paquet. REJECT n'est valide que dans les chaînes INPUT, FORWARD et OUTPUT ou leurs sous-chaînes. Après tout, ce sont les seules chaînes dans lesquelles il soit sensé de placer cette cible. Notez que toutes les chaînes qui utilisent REJECT ne peuvent être invoquées que par INPUT, FORWARD, et OUTPUT, sinon elles ne fonctionnent pas. Il n'y a qu'une option qui contrôle le fonctionnement de cette cible.
Tableau 10. Cible REJECT
Option | --reject-with |
Exemple | iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset |
Explication | Cette option indique à la cible REJECT quelle réponse envoyer à l'hôte qui a expédié le paquet qui a été rejeté. Quand nous sommes en présence d'un paquet qui apparie une règle dans laquelle nous avons spécifié cette cible, notre hôte envoie la réponse associée, et le paquet est ensuite supprimé, comme pour la cible DROP. Les types suivants de rejet sont valides : icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited et icmp-host-prohibited. Le message d'erreur par défaut expédie un port-unreachable à l'hôte. Tous sont des messages d'erreur ICMP et peuvent être paramétrés comme vous le voulez. Vous trouverez plus d'information dans l'annexe Types ICMP. Enfin, il existe une option supplémentaire appelée tcp-reset, qui peut être utilisée seulement avec le protocole TCP. L'option tcp-reset qui indique le REJECT envoie un paquet TCP RST en réponse à l'hôte expéditeur. Les paquets TCP RST sont utilisés pour clore les connexions TCP. Pour plus d'information sur TCP RST voir la RFC 793 - Transmission Control Protocol. Comme indiqué dans le manuel d'iptables, elle est principalement utilisée pour bloquer les sondeurs d'identité. |
Fonctionne avec les noyaux Linux 2.3, 2.4, 2.5 et 2.6. |
Précédent | Sommaire | Suivant |
Cible REDIRECT | Niveau supérieur | Cible RETURN |