Obecnie mam mój łańcuch WYJŚCIE ustawiony na DROP. Chciałbym zmienić to na ODRZUĆ, aby mieć wskazówkę, że to moja zapora ogniowa powstrzymuje mnie przed dotarciem, a nie problem z usługami, do których próbuję uzyskać dostęp (natychmiastowe odrzucenie zamiast przekroczenia limitu czasu). Jednak iptables nie przejmuje się tym. Jeśli ręcznie edytuję zapisany plik reguł i próbuję go przywrócić, otrzymuję iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy name
i odmawia załadowania reguł. Jeśli spróbuję ustawić to ręcznie ( iptables -P OUTPUT REJECT
), otrzymuję, iptables: Bad policy name. Run 'dmesg' for more information.
ale w dmesg nie ma danych wyjściowych.
Potwierdziłem, że odpowiednia reguła jest wkompilowana w jądro i zrestartowałem się, aby upewnić się, że jest załadowana:
# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
(Dodano gwiazdki, aby wyróżnić obowiązującą regułę)
Wszystko, co mogę znaleźć, stwierdza, że REJECT jest prawidłową polityką / celem (ogólnie), ale nie mogę znaleźć niczego, co mówi, że nie jest ważne dla łańcuchów INPUT, FORWARD lub OUTPUT. Moje Google-fu nie pomaga. Jestem na Gentoo, jeśli to robi jakąkolwiek różnicę. Czy ktoś tu ma jakiś wgląd?
iptables
zasadę, o której mowa?