使用 iptables 時 REJECT 與 DROP

我有什麼理由想要擁有

iptables -A INPUT -j REJECT

代替

iptables -A INPUT -j DROP

作為一般規則，當您希望另一端知道埠無法訪問時使用 REJECT ‘使用 DROP 連接到您不希望人們看到的主機。

通常，LAN 內的所有連接規則都應使用 REJECT。對於 Internet，除了某些伺服器上的 ident 之外，來自 Internet 的連接通常會被丟棄。

使用 DROP 使連接看起來像是一個未佔用的 IP 地址。掃描器可能會選擇不繼續掃描看起來未被佔用的地址。鑑於 NAT 可用於重定向防火牆上的連接，眾所周知的服務的存在並不一定表明地址上存在伺服器。

任何提供 SMTP 服務的地址都應通過或拒絕 Ident。但是，SMTP 服務對 Ident 查找的使用已不再使用。有些聊天協議也依賴於有效的身份服務。

編輯：使用 DROP 規則時： - UDP 數據包將被丟棄，其行為將與連接到沒有服務的無防火牆埠相同。- TCP 數據包將返回一個 ACK/RST，這與沒有服務的開放埠的響應相同。一些路由器將代表已關閉​​的伺服器響應和 ACK/RST。

使用 REJECT 規則時，會發送一個 ICMP 數據包，指示埠不可用。

引用自：https://serverfault.com/questions/157375