有人可以解釋這些表達之間的區別嗎

drop proto tcp and not (dst port 80)

pass proto tcp and dst port 80

它們之間有區別嗎？

好吧，區別很簡單。

• 第一條規則立即丟棄非 HTTP
• 第二條規則立即允許 HTTP

雖然它可能會欺騙你，但這些都不是很接近。因為：

• 伺服器上有幾種類型的流量，第一條規則只是禁止它。
• 同時不允許HTTP：是否允許 HTTP 由後續規則或鏈策略決定。
• 另一方面，第二條規則明確允許 HTTP 並且不會篡改其他所有內容。

在極少數情況下您需要像第一個這樣的規則，所以請堅持第二個，除非您完全確定為什麼需要第一個。

引用自：https://serverfault.com/questions/1097712