Назад | Перейти на главную страницу

iptables: использовать правила DROP или REJECT в таблицах без «фильтров», а именно в таблице NAT?

Для iptables(8) брандмауэр, который в противном случае "должным образом заблокирован" в filter стол, есть ли смысл использовать DROP, REJECT или аналогичные, завершающие, «блокирующие или запрещающие» правила в не-filters таблицы, а именно NAT стол (или mangle, raw, или security таблицы в этом отношении)?

Мы специально хотим закрыть любой, потенциал «дыры» в нашем брандмауэре.

NATс POSTROUTING сеть не принимает DROP или REJECT нацеливаться хотя бы на одну из систем нашей команды:

$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:    18.04
Codename:   bionic
$

Короткий ответ: нет.

Отрывок из Reddit:

«Пакеты не могут пропустить таблицу фильтров, поэтому удаление пакетов из дополнительной таблицы не дает вам дополнительной безопасности [...]»