Iptables
iptables:在非“過濾器”表(即 NAT 表)中使用 DROP 或 REJECT 規則?
對於以其他方式在表
iptables(8)
中“正確鎖定”的防火牆,是否可以在非表中filter
使用或類似的終止、“阻止或禁用”規則,即表(或用於該表的、或表事情)?DROP``REJECT``filters``NAT``mangle``raw``security
我們特別想關閉防火牆中的*任何潛在*“漏洞”。**
NAT
的POSTROUTING
鏈不接受 aDROP
orREJECT
target 在至少一個團隊的系統上:$ iptables -t nat -P POSTROUTING DROP iptables v1.6.1: The "nat" table is not intended for filtering, the use of DROP is therefore inhibited. Try `iptables -h' or 'iptables --help' for more information. $ $ iptables -t nat -P POSTROUTING REJECT iptables: Bad policy name. Run `dmesg' for more information. $ $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 18.04.4 LTS Release: 18.04 Codename: bionic $
簡短的回答:沒有。
摘自reddit:
“數據包不能跳過過濾表,因此從附加表中丟棄數據包不會為您帶來任何額外的安全性
$$ … $$"