Как убрать reject-with icmp-host-prohibited?

Question

[nano_e_t_4]

Всем привет
Может кто знает, может кто сталкивался:
В ferm прописаны правила REJECT в цепочках. Но при примении конфигурации fermа (ferm reload) в iptables в правила REJECT автоматически добавляются строки reject-with icmp-host-prohibited
Пример:
в ферме:

table filter {
    chain OUTPUT {
    mod set set filter dst REJECT;
    mod set set netfilter dst REJECT;
        }
    }

в iptables после применения конфига:

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ipfilter dst reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set subnetfilter dst reject-with icmp-port-unreachable

Как убрать это автодополнение?
Спасибо

Comments

[Александр Карабанов]

Но зачем?

Answer 1

[Павел Селиванов]

Для -j REJECT --reject-with обязателен. Это может быть icmp-port-unreachable (по умолчанию, если не указано другое), icmp-admin-prohibited, icmp-host-prohibited, ... , и tcp-reset (только для TCP). Если нужно разрывать соединение, не отправляя никакого ответа, используйте -j DROP.

Answer 2

[Александр Карабанов]

Если хочешь сбросить соединение без уведомления впиши DROP вместо REJECT.

В ferm, по умолчанию, REJECT уведомляет ICMP пакетом отправителя, что порт недоступен (icmp-port-unreachable). Можешь указать другой тип ICMP.

REJECT; # по умолчанию icmp-port-unreachable
REJECT reject-with icmp-net-unreachable;

Набери "iptables -j REJECT -h" для получения дополнительной информации.

PS
Вот здесь написано: ferm.foo-projects.org/download/2.1/ferm.html