Neden iptables OUTPUT zincirimde REJECT politikasını kullanamıyorum?

Şu anda OUTPUT zincirimi DROP olarak ayarladım. Bunu reddetmek için değiştirmek istiyorum, böylece güvenlik duvarımın erişmeye çalıştığım herhangi bir hizmetle ilgili bir sorundan ziyade bir yere gitmemi engellediğine dair bir ipucu var (zaman aşımı yerine hemen reddetmek). Ancak, iptables bunu umursamıyor gibi görünüyor. Kaydedilmiş kurallar dosyamı manuel olarak düzenler ve geri yüklemeye çalışırsam, alıyorum iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy nameve kuralları yüklemeyi reddediyor. Bunu manuel olarak ayarlamaya çalışırsam ( iptables -P OUTPUT REJECT), iptables: Bad policy name. Run 'dmesg' for more information.dmesg'de çıktı yok.

Uygun kuralın çekirdeğe derlendiğini ve yüklendiğinden emin olmak için yeniden başlattığımı doğruladım:

# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y

(Geçerli kuralı vurgulamak için yıldız işaretleri eklendi)

Bulabildiğim her şey, REJECT'in geçerli bir politika / hedef olduğunu (genel olarak) belirtir, ancak INPUT, FORWARD veya OUTPUT zincirleri için geçerli olmadığını söyleyen hiçbir şey bulamıyorum. Google fu'm yardımcı olmuyor. Gentoo'dayım, eğer bu bir fark yaratırsa. Burada kimse bir fikir var mı?

REJECTbir zincir politikası hedef olmak zorundayken , bir hedef uzantıdır . Man sayfası (gerçekten açık olmasa da) diyor, ancak söylediklerinden bazıları düz yanlış.

Politika yalnızca yerleşik zincirlerde ACCEPTveya DROPüzerinde olabilir . Önceki kurallara uymayan tüm paketleri reddetme efektini istiyorsanız, son kuralın her şeyle eşleştiğinden ve REJECThedef uzantıya sahip bir kural eklediğinden emin olun . Başka bir deyişle, tüm ilgili kuralları ekledikten sonra yapın iptables -t filter -A OUTPUT -j REJECT.

Daha fazla ayrıntı için netfilter listesindeki "olası zincir ilkeleri nelerdir" konusuna bakın .

Belgelendirilmiş bulamadım, ancak burada bir referans , izin verilen tek politikaların KABUL veya DAMLA olduğunu gösterir. Bu bakarak teyit edilir kaynağın ait libiptckod vardır hattının 2429, etrafında (kurallarını manipüle sorumludur)

2429         if (strcmp(policy, LABEL_ACCEPT) == 0)
2430                 c->verdict = -NF_ACCEPT - 1;
2431         else if (strcmp(policy, LABEL_DROP) == 0)
2432                 c->verdict = -NF_DROP - 1;
2433         else {
2434                 errno = EINVAL;
2435                 return 0;
2436         }

Orijinal iplik , yapılacak en iyi şeyin, olması gereken zincirin sonuna REJECT eklemektir iptables -A OUTPUT -j REJECT.

Bundan hemen önce kodun:

2423         if (!iptcc_is_builtin(c)) {
2424                 DEBUGP("cannot set policy of userdefinedchain `%s'\n", chain);
2425                 errno = ENOENT;
2426                 return 0;
2427         }
2428 

Dolayısıyla, ilkeyi Kullanıcı Tanımlı bir zincirde ayarlayamazsınız.

REJECTüzerinde OUTPUThiçbir mantıklı; a REJECT, bir ağdan geçmesi gereken bir ICMP paketi döndürür .

Zincire neyin bu kadar yaklaştığını görmek -j LOGiçin son kuralınız olarak (bu nedenle DROPpolitikadan önce ) yeni bir tane ekleyin OUTPUT.