Questo modulo aggiunge la possibilità di specificare REJECT come target (-j REJECT), in questo modo se la regola è soddisfatta sarà spedito al mittente un pacchetto icmp. Si può usare in alternativa di DROP che invece scarta il pacchetto senza inviare alcun messaggio alla macchina che lo ha spedito.
Con questa opzione è possibile indicare quale tipo di pacchetto icmp inviare alla macchina mittente. I pacchetti supportati attualmente sono:
#! /bin/sh # # Esempio # ... # -------------------------------------------------------------------------------- # Inviamo un pacchetto icmp 'icmp-net-unreachable' a chi invia pacchetti destinati # alla rete 192.168.1.0 perché ad esempio non presente # -------------------------------------------------------------------------------- iptables -A INPUT -p tcp -d 192.168.1.0 -j REJECT --reject-with icmp-net-unreachable # -------------------------------------------------------------------------------- # Inviamo un pacchetto icmp 'port-unreach' a chi invia pacchetti destinati alla porta ftp # -------------------------------------------------------------------------------- iptables -A INPUT -p tcp --dport ftp -j REJECT --reject-with port-unreach # -------------------------------------------------------------------------------- # tutto il resto è scartato # -------------------------------------------------------------------------------- iptables -A INPUT -j DROP ...