iptables：掃描器是否知道您是否丟棄了數據包？

我知道REJECT和DROP鍊是如何工作的。但是，正如我在使用 iptables 時在此處閱讀的 REJECT vs DROP 時，使用者 Dagelf 說伺服器仍然以TCP SYN/ACK.

當防火牆使用 DROP 時，掃描器是否知道數據包被丟棄？

如果您拒絕該數據包，您將使用 RST 數據包回复傳入的 SYN，因此掃描器知道該埠已關閉（通過拒絕，或者因為該埠上沒有執行任何服務）。

如果您丟棄數據包，掃描器會等待，一段時間後（超時），它會假定數據包已被丟棄（儘管它們可能在傳輸過程中失去，或者遠端的機器可能已關閉，或者其他任何可能發生，這將觸發無回复的情況）。

引用自：https://serverfault.com/questions/589409