मैं अपनी iptables OUTPUT श्रृंखला पर REJECT नीति का उपयोग क्यों नहीं कर सकता?

वर्तमान में मेरे पास DUTP पर अपनी OUTPUT श्रृंखला है। मैं इसे REJECT में बदलना चाहता हूं, ताकि मेरे पास एक सुराग हो कि यह मेरी फ़ायरवॉल है जो मुझे एक समस्या के बजाय कहीं भी मिलने से रोक रही है, जिस भी सेवा का मैं उपयोग करने का प्रयास कर रहा हूं (समय के बजाय तत्काल अस्वीकार)। हालाँकि, iptables को इसकी कोई परवाह नहीं है। यदि मैं अपने सहेजे गए नियम फ़ाइल को मैन्युअल रूप से संपादित करता हूं और इसे पुनर्स्थापित करने का प्रयास करता हूं, तो मुझे मिलता है iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy nameऔर यह नियमों को लोड करने से इनकार करता है। अगर मैं इसे मैन्युअल रूप से सेट करने का प्रयास करता हूं ( iptables -P OUTPUT REJECT), तो मुझे मिल जाता है iptables: Bad policy name. Run 'dmesg' for more information.लेकिन dmesg में कोई आउटपुट नहीं है।

मैंने पुष्टि की है कि उपयुक्त नियम कर्नेल में संकलित है और यह सुनिश्चित करने के लिए मैंने रिबूट किया है कि यह लोड है:

# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y

(लागू नियम को उजागर करने के लिए तारांकन जोड़े गए)

मैं जो कुछ भी प्राप्त कर सकता हूं वह बताता है कि REJECT एक वैध नीति / लक्ष्य (सामान्य रूप से) है, लेकिन मुझे ऐसा कुछ भी नहीं मिल रहा है जो कहता है कि यह INPUT, FORWARD, या OUTPUT श्रृंखलाओं के लिए मान्य नहीं है। मेरा Google-फू मदद नहीं कर रहा है। मैं Gentoo पर हूँ, अगर इससे कोई फ़र्क पड़ता है। यहाँ किसी को कोई अंतर्दृष्टि है?

REJECTएक लक्ष्य विस्तार है , जबकि एक श्रृंखला नीति एक लक्ष्य होना चाहिए । मैन पेज कहता है कि (हालांकि यह वास्तव में स्पष्ट नहीं है), लेकिन जो कुछ कहता है वह सपाट गलत है।

पॉलिसी केवल अंतर्निर्मित चेन पर ACCEPTया हो सकती है DROP। यदि आप उन सभी पैकेटों को अस्वीकार करने का प्रभाव चाहते हैं जो पिछले नियमों से मेल नहीं खाते हैं, तो बस सुनिश्चित करें कि अंतिम नियम सब कुछ से मेल खाता है और एक REJECTलक्ष्य एक्सटेंशन के साथ एक नियम जोड़ता है । दूसरे शब्दों में, सभी संबंधित नियमों को जोड़ने के बाद, करें iptables -t filter -A OUTPUT -j REJECT।

देखें धागा "क्या संभव श्रृंखला नीतियों रहे हैं" अधिक जानकारी के लिए नेटफिल्टर सूची पर।

मैं इसे प्रलेखित नहीं पाया, लेकिन यहां एक संदर्भ इंगित करता है कि केवल स्वीकृत नीतियां ही ACCEPTor DROP हैं। यह देख कर पुष्टि की है स्रोत की libiptcलाइन 2429, जहां कोड है चारों ओर (जो नियमों से छेड़छाड़ के लिए जिम्मेदार है)

2429         if (strcmp(policy, LABEL_ACCEPT) == 0)
2430                 c->verdict = -NF_ACCEPT - 1;
2431         else if (strcmp(policy, LABEL_DROP) == 0)
2432                 c->verdict = -NF_DROP - 1;
2433         else {
2434                 errno = EINVAL;
2435                 return 0;
2436         }

मूल धागा सबसे अच्छी बात यह बताता है कि श्रृंखला के अंत में REJECT को जोड़ना चाहिए जो कि होना चाहिए iptables -A OUTPUT -j REJECT।

ध्यान दें कि इस से पहले कोड है:

2423         if (!iptcc_is_builtin(c)) {
2424                 DEBUGP("cannot set policy of userdefinedchain `%s'\n", chain);
2425                 errno = ENOENT;
2426                 return 0;
2427         }
2428 

इसलिए आप पॉलिसी को यूज़र डिफ़ाइंड चेन पर सेट नहीं कर सकते।

REJECTपर OUTPUTकोई मतलब नहीं है; a REJECTएक ICMP पैकेट लौटाएगा जिसे एक नेटवर्क को ट्रैवर्स करना होगा।

-j LOGअपने अंतिम नियम के रूप में एक नया जोड़ें (इसलिए DROPनीति से पहले ) यह देखने के लिए कि OUTPUTश्रृंखला में क्या मिलता है ।