Означает ли «все пакеты, которые не соответствуют правилу по умолчанию, должны быть отброшены», что мое правило iptables должно отбрасывать все с самого начала, как это?
# Set the default policy to drop
$IPT --policy INPUT DROP
$IPT --policy OUTPUT DROP
$IPT --policy FORWARD DROP
Или это еще что-то значит?
Это означает, что если в вашей конфигурации нет правила, которое специально разрешает прохождение пакета, его следует отбросить. В основном «Запрещайте все, если я специально не разрешаю».
Я не мастер IPTables, но в основном вы настраиваете IP-таблицы, чтобы разрешить только то, что хотите, а остальное отбрасываете.
Да, именно это и означает (и больше ничего не значит).
Очевидно, это политика, и вы можете установить свою собственную в зависимости от ваших потребностей и ваших ожидаемых целей. Политика DROP будет отображаться как «отфильтрованная» при сканировании порта с помощью nmap, тогда как политика REJECT будет отображаться как «закрыто» - это потому, что REJECT отправляет сообщение о недоступности ICMP обратно, позволяя человеку, подключающемуся, знать, что нет служба прослушивает этот порт (типичное пользовательское сообщение - «Отказ в соединении»).