Digamos que eu tenha uma cadeia introduzida com iptables -N SERVICES-VPN
.
Mas aí eu quero que essa corrente largue tudo... então iptables -A SERVICES-VPN -j DROP
.
O problema aqui é que posso precisar adicionar regras mais tarde para ser aceito. Toda vez que preciso adicioná-los, tenho que excluir manualmente a regra de descarte (irritantemente pelo número da linha, certo?), Introduzir as novas regras para aceitar esse serviço e reintroduzir a regra de descarte novamente iptables -A SERVICES-VPN -j DROP
.
Isso pode até ser visto como uma falha de segurança, onde um botnet pode estar esperando que eu abra todas as portas deletando a regra DROP para fazer algo, onde a última linha de defesa, o firewall, é o que está protegendo a máquina em questão.
Esse problema não existe para as políticas, onde algo como iptables -P INPUT DROP
ainda vai me permitir adicionar novas regras, e se não existir nenhuma regra vai cair a conexão. Qual é a melhor maneira de conseguir isso com correntes?