Respostas:
O REJECTalvo rejeita o pacote. Se você não especificar com qual mensagem ICMP rejeitar, o servidor por padrão retornará a porta ICMP inacessível (tipo 3, código 3).
--reject-withmodifica esse comportamento para enviar uma mensagem ICMP específica de volta ao host de origem. Você pode encontrar informações sobre --reject-withe as mensagens de rejeição disponíveis em man iptables:
REJEITAR
Isso é usado para enviar de volta um pacote de erro em resposta ao pacote correspondente: caso contrário, é equivalente a DROP, portanto, é um TARGET de término, atravessando a regra de finalização. Esse destino é válido apenas nas cadeias INPUT, FORWARD e OUTPUT e cadeias definidas pelo usuário que são chamadas apenas dessas cadeias. A opção a seguir controla a natureza do pacote de erro retornado:
--reject-with typeO tipo fornecido pode ser:
- icmp-net-inacessível
- icmp-host-inacessível
- icmp-port-inacessível
- icmp-proto-inacessível
- ICMP-net-proibido
- ICMP-host-proibido ou
- icmp-admin-proibido (*)
que retornam a mensagem de erro ICMP apropriada (porta inacessível é o padrão). A opção tcp-reset pode ser usada em regras que correspondem apenas ao protocolo TCP: isso faz com que um pacote TCP RST seja enviado de volta. Isso é útil principalmente para bloquear probes ident (113 / tcp) que ocorrem com frequência ao enviar emails para hosts de emails quebrados (que não aceitarão seu email de outra forma).
(*) O uso de icmp-admin-allowed com kernels que não o suportam resultará em uma DROP simples em vez de REJECT