現在、OUTPUTチェーンはDROPに設定されています。アクセスしようとしているサービスに問題があるのではなく(タイムアウトではなくすぐに拒否)、ファイアウォールが私をブロックしていることがわかるようにREJECTに変更したいと思います。しかし、iptablesはこれを気にしないようです。保存したルールファイルを手動で編集して復元しようとすると、ルールのiptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy name
ロードが拒否されます。手動で設定しようとすると(iptables -P OUTPUT REJECT
)iptables: Bad policy name. Run 'dmesg' for more information.
dmesgに出力が表示されません。
適切なルールがカーネルにコンパイルされたことを確認し、再起動してロードされたことを確認しました。
# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
(該当するルールを強調するには、アスタリスクを追加してください)
私が見つけることができるすべては、REJECTが有効な戦略/目標(一般的に)であると言いますが、INPUT、FORWARD、またはOUTPUTチェーンには無効であることがわかりません。私のGoogle-fuは役に立ちませんでした。私はGentooを使用しています。違いがあれば。ここに洞察力のある人はいますか?
ベストアンサー1
REJECT
は目標の延長、チェーンポリシーは次のとおりです。ターゲット。マニュアルページにはそのように記載されていますが(明確ではありませんが)、一部は明らかに間違っています。
戦略はオンチェーンでのみ可能またはACCEPT
組み込みDROP
可能です。前のルールと一致しないすべてのパケットを拒否する効果が必要な場合は、最後のルールがすべてのエントリと一致することを確認し、宛先REJECT
拡張を含むルールを追加するだけです。つまり、そのルールをすべて追加してから実行しますiptables -t filter -A OUTPUT -j REJECT
。
よりトピック「可能なチェーンポリシーは何ですか?」詳しくは、ネットフィルターのリストをご覧ください。