我希望 iptables 禁止在 OUTPUT 链中发送“端口已关闭”(RST ACK)。
我不确定这是否正确:
--append OUTPUT --protocol tcp --tcp-flags RST,ACK RST,ACK --jump REJECT --reject-with icmp-host-prohibited
答案1
看起来是对的。不过,首先阻止 SYN 数据包到达服务比阻止响应更正常。
答案2
不确定你的规则(如果有的话)实际上会产生什么效果;请执行 DROP 而不是 REJECT。
请参阅使用 iptables 时 REJECT 与 DROP。