似乎使用基本的“DROP”iptables 规则,出站尝试仍将等待其超时时间。
例如,如果我阻止出站 IP 地址,然后尝试通过 telnet 连接到它,它将等待直到超时。
是否可以指定必须立即拒绝和/或关闭连接?
例如,如果我有:
target prot opt source destination
DROP tcp -- 0.0.0.0/0 208.79.143.151 tcp dpt:443
然后如果我运行:
# telnet 208.79.143.151 443
Trying 208.79.143.151...
...它将一直挂起,直到请求最终超时。有没有办法让 Linux 更突然地使出站连接失败(在您无法修改应用程序的情况下)?
答案1
是的,只需使用REJECT
目标代替DROP
。
您还可以指定拒绝原因,但默认设置通常就可以了。可能的原因在iptables-extensions
手册页中。