可以将Iptables配置为拒绝具有诸如将TCP_RST或ICMP_HOST_UNREACHABLE数据包发送回源的操作的数据包。像这样:
iptables -A INPUT -p TCP --dport 22 -j REJECT --reject-with tcp-reset
IPTables使用什么地址作为它发送回主机的TCP_RST段的“srcIp”?它是收到的数据包的“destIp”吗?或者,它是从接收数据包的接口配置的IP地址吗?
答案 0 :(得分:1)
INPUT
表仅影响destIp由主机“拥有”的数据包。由于发送方期望来自destIp的响应,因此将返回TCP_RST
,并将原始destIp作为其srcIp。如果从任何其他地址返回TCP_RST
,则原始发件人不会将其识别为对其已发送的数据包的回复。