Почему я не могу использовать политику REJECT в цепочке OUTPUT iptables?

В настоящее время моя цепочка OUTPUT установлена ​​на DROP. Я хотел бы изменить его на REJECT, чтобы у меня была подсказка, что именно мой брандмауэр мешает мне получить что-то, а не проблему с какой-либо службой, к которой я пытаюсь получить доступ (немедленное отклонение вместо истечения времени ожидания). Однако iptables, похоже, не заботится об этом. Если я вручную отредактировал сохраненный файл правил и попытался восстановить его, я получил, iptables-restore v1.4.15: Can't set policy 'REJECT' on 'OUTPUT' line 22: Bad policy nameи он отказался загружать правила. Если я пытаюсь установить это вручную ( iptables -P OUTPUT REJECT), я получаю, iptables: Bad policy name. Run 'dmesg' for more information.но в dmesg нет вывода.

Я подтвердил, что соответствующее правило скомпилировано в ядро, и я перезагрузился, чтобы убедиться, что оно загружено:

# CONFIG_IP_NF_MATCH_TTL is not set
CONFIG_IP_NF_FILTER=y
***
CONFIG_IP_NF_TARGET_REJECT=y
***
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y

(Звездочки добавлены, чтобы выделить применимое правило)

Все, что я могу найти, говорит о том, что REJECT является допустимой политикой / целью (в целом), но я не могу найти ничего, что говорит о том, что это недопустимо для цепочек INPUT, FORWARD или OUTPUT. Мой гугл-фу не помогает. Я на Gentoo, если это что-то меняет. Кто-нибудь здесь есть какое-то понимание?

REJECTявляется целевым расширением , в то время как цепная политика должна быть целью . Страница руководства говорит это (хотя это не совсем понятно), но кое-что из того, что там написано, совершенно неверно.

Политика может быть только ACCEPTили DROPна встроенных цепочках. Если вы хотите получить эффект отклонения всех пакетов, которые не соответствуют предыдущим правилам, просто убедитесь, что последнее правило соответствует всему, и добавьте правило с REJECTцелевым расширением. Другими словами, после добавления всех соответствующих правил, выполните iptables -t filter -A OUTPUT -j REJECT.

См. Ветку «Каковы возможные политики цепочки» в списке сетевых фильтров для получения более подробной информации.

Я не смог найти его документированным, но ссылка здесь указывает на то, что единственными разрешенными политиками являются ACCEPTor DROP. Это подтверждается, глядя на источник из libiptc(который отвечает за изменение правил) вокруг линии 2429, где код имеет

2429         if (strcmp(policy, LABEL_ACCEPT) == 0)
2430                 c->verdict = -NF_ACCEPT - 1;
2431         else if (strcmp(policy, LABEL_DROP) == 0)
2432                 c->verdict = -NF_DROP - 1;
2433         else {
2434                 errno = EINVAL;
2435                 return 0;
2436         }

Оригинальный поток предлагает лучшее, что нужно сделать, это добавить REJECT в конце цепочки, что должно быть iptables -A OUTPUT -j REJECT.

Обратите внимание, что код перед этим:

2423         if (!iptcc_is_builtin(c)) {
2424                 DEBUGP("cannot set policy of userdefinedchain `%s'\n", chain);
2425                 errno = ENOENT;
2426                 return 0;
2427         }
2428 

Таким образом, вы вообще не можете устанавливать политику в пользовательской цепочке.

REJECTна OUTPUTне имеет смысла; a REJECTвернет ICMP-пакет, который должен был бы пройти через сеть.

Добавьте новое -j LOGкак ваше последнее правило (следовательно, перед DROPполитикой), чтобы увидеть, что заходит так далеко в OUTPUTцепочке.