iptables：在非“過濾器”表（即 NAT 表）中使用 DROP 或 REJECT 規則？

對於以其他方式在表iptables(8)中“正確鎖定”的防火牆，是否可以在非表中filter使用或類似的終止、“阻止或禁用”規則，即表（或用於該表的、或表事情）？DROP``REJECT``filters``NAT``mangle``raw``security

我們特別想關閉防火牆中的*任何潛在*“漏洞”。**

NAT的POSTROUTING鏈不接受 a DROPor REJECTtarget 在至少一個團隊的系統上：

$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:    18.04
Codename:   bionic
$

簡短的回答：沒有。

摘自reddit：

“數據包不能跳過過濾表，因此從附加表中丟棄數據包不會為您帶來任何額外的安全性

$$ … $$"

引用自：https://serverfault.com/questions/1018666