iptables：在非“过滤器”表（即 NAT 表）中采用 DROP 或 REJECT 规则？

2024-6-1 • tag-icon

iptables：在非“过滤器”表（即 NAT 表）中采用 DROP 或 REJECT 规则？

为iptables(8)防火墙在表中被“正确锁定” filter，是否有用在非表中采用或类似的终止、“阻止或禁用”规则，即DROP表REJECT（或、或表）？filtersNATmanglerawsecurity

我们特别想关闭任何，潜在的我们的防火墙上有“漏洞”。

NAT的POSTROUTING链不接受DROP或REJECT目标，至少在我们团队的系统之一上：

$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:    18.04
Codename:   bionic
$

答案1

简短的回答：不。

摘录自Reddit：

“数据包不能跳过过滤表，因此从额外的表中删除数据包并不会给你带来任何额外的安全性[...]”

答案1

相关内容