10.21 Debian上如何阻止本机发送端口不可达ICMP报文、RST报文

Q:

我在用raw socket或PF_PACKET编程，考虑两种情况:

1)

本机在2、3层直接发送DNS查询报文，收到DNS响应后本机会发送端口不可达ICMP报文。

2)

本机在2、3层直接发送SYN报文，收到SYN+ACK之后本机会发送RST报文。

这两种情况都是我不希望看到的。

A:

modprobe ip_tables
iptables -A OUTPUT -p icmp -m icmp --icmp-type port-unreachable -j DROP
iptables -A OUTPUT -p tcp -m tcp --tcp-flags RST RST -j DROP