我开始看到新的IP添加到INPUT链中,REJECT“拒绝 - 使用icmp-port-unreachable”,但是不清楚是谁添加了它们以及我可以阻止它。
目前尚不清楚哪个系统正在创建这些规则。 我们在APP中没有使用这种规则“REJECT”,我们只使用DROP规则。 这些都是一种谜。
有些人想到他们是怎么出现的?
答案 0 :(得分:3)
REJECT 目标拒绝该数据包。如果未指定要拒绝的ICMP消息,则默认情况下服务器将发送回ICMP端口不可达(类型3,代码3)。
阅读iptables文档以了解每个操作的作用(-j DROP vs. -j REJECT)是明智的。
因此,您创建的防火墙正在为您添加这些规则,因为您很可能使用 -j REJECT 而不是 -j DROP 标记。
作为一项基本规则,您应该为本地网络使用-j REJECT,并为触及服务器的互联网流量使用-j DROP。使用REJECT规则时,将发送ICMP数据包,指示端口不可用。所以你的服务器可能会暴露出来。
要回答您的问题,您自己的防火墙就会创建这些规则。