对于以其他方式在表iptables(8)中“正确锁定”的防火墙,是否可以在非表中filter使用或类似的终止、“阻止或禁用”规则,即表(或用于该表的、或表事情)?DROPREJECTfiltersNATmanglerawsecurity
我们特别想关闭防火墙中的任何潜在“漏洞”。
NAT的POSTROUTING链不接受 a DROPor REJECTtarget 在至少一个团队的系统上:
$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.
Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 18.04.4 LTS
Release: 18.04
Codename: bionic
$
简短的回答:没有。
摘自reddit:
“数据包不能跳过过滤表,因此从附加表中丢弃数据包不会为您带来任何额外的安全性 [...]”