J'ai actuellement ma chaîne OUTPUT réglée sur DROP. Je voudrais le changer en REJETER, afin d'avoir une idée que c'est mon pare-feu qui m'empêche d'accéder à quelque chose plutôt qu'un problème avec le service auquel j'essaie d'accéder (rejet immédiat au lieu de temporiser). Cependant, iptables ne semble pas s'en soucier. Si j'édite manuellement mon fichier de règles enregistré et que j'essaye de le restaurer, j'obtiens iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy name
et il refuse de charger les règles. Si j'essaye de régler ceci manuellement ( iptables -P OUTPUT REJECT
), j'obtiens iptables: Bad policy name. Run 'dmesg' for more information.
mais il n'y a aucune sortie dans dmesg.
J'ai confirmé que la règle appropriée est compilée dans le noyau et j'ai redémarré pour m'assurer qu'elle est chargée:
# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
(Des astérisques ont été ajoutés pour mettre en évidence la règle applicable)
Tout ce que je peux trouver indique que REJETER est une politique / cible valide (en général), mais je ne trouve rien qui dise qu'il n'est pas valide pour les chaînes INPUT, FORWARD ou OUTPUT. Mon Google-fu n'aide pas. Je suis sur Gentoo, si cela fait une différence. Quelqu'un ici a une idée?
iptables
règles en question?