Iptables

iptables:在非“過濾器”表(即 NAT 表)中使用 DROP 或 REJECT 規則?

  • May 26, 2020

對於以其他方式在表iptables(8)中“正確鎖定”的防火牆,是否可以在非表中filter使用或類似的終止、“阻止或禁用”規則,即表(或用於該表的、或表事情)?DROP``REJECT``filters``NAT``mangle``raw``security

我們特別想關閉防火牆中的*任何潛在*“漏洞”。**

NATPOSTROUTING鏈不接受 a DROPor REJECTtarget 在至少一個團隊的系統上:

$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:    18.04
Codename:   bionic
$

簡短的回答:沒有。

摘自reddit

“數據包不能跳過過濾表,因此從附加表中丟棄數據包不會為您帶來任何額外的安全性

$$ … $$"

引用自:https://serverfault.com/questions/1018666