iptableの設定
DROPとREJECTの違いに関して
DROPの場合は、パケットを破棄するのみで、送信元への通知は行われません。
Chain INPUT (policy DROP) target prot opt source destination
一方REJECTの場合は、「reject-with icmp-port-unreachable」のように送信元に対してエラーメッセージの通知を行います。その後DROPと同様にパケットの破棄を行います。
Chain INPUT (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
エラーメッセージはここを参照にして、以下のように設定できます。
[root@new-host ~]# iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable
のようにport-unreachableからhost-unreachableに設定することで、サーバの存在を外部から隠蔽することもできます。