新 IP 被添加到 IPTABLES INPUT REJECT with "reject-with icmp-port-unreachable" 从无处
New IPs are added to IPTABLES INPUT REJECT with "reject-with icmp-port-unreachable" from nowhere
我开始看到新的 IP 添加到带有 REJECT "reject-with icmp-port-unreachable" 的 INPUT 链,但不清楚是谁添加的以及我可以在哪里停止它。
尚不清楚是哪个系统创建了这些规则。
我们的APP中没有使用这种规则"REJECT",我们只使用DROP规则。
这些都是谜。
知道它们是怎么出现在这里的吗?
REJECT 目标拒绝数据包。如果您不指定拒绝哪个 ICMP 消息,服务器默认将发回 ICMP 端口不可达(类型 3,代码 3)。
最好阅读 iptables 文档以了解每个操作的作用(-j DROP 与 -j REJECT)。
因此您创建的防火墙正在为您添加这些规则,因为您很可能使用 -j REJECT 而不是 -j DROP旗帜。
作为基本规则,您应该对本地网络使用 -j REJECT,对访问您服务器的互联网流量使用 -j DROP。使用 REJECT 规则时,会发送一个 ICMP 数据包,指示端口不可用。所以你的服务器可能会暴露。
为了回答您的问题,您自己的防火墙创建了这些规则。
我开始看到新的 IP 添加到带有 REJECT "reject-with icmp-port-unreachable" 的 INPUT 链,但不清楚是谁添加的以及我可以在哪里停止它。
尚不清楚是哪个系统创建了这些规则。 我们的APP中没有使用这种规则"REJECT",我们只使用DROP规则。 这些都是谜。
知道它们是怎么出现在这里的吗?
REJECT 目标拒绝数据包。如果您不指定拒绝哪个 ICMP 消息,服务器默认将发回 ICMP 端口不可达(类型 3,代码 3)。
最好阅读 iptables 文档以了解每个操作的作用(-j DROP 与 -j REJECT)。
因此您创建的防火墙正在为您添加这些规则,因为您很可能使用 -j REJECT 而不是 -j DROP旗帜。
作为基本规则,您应该对本地网络使用 -j REJECT,对访问您服务器的互联网流量使用 -j DROP。使用 REJECT 规则时,会发送一个 ICMP 数据包,指示端口不可用。所以你的服务器可能会暴露。
为了回答您的问题,您自己的防火墙创建了这些规则。