Для iptables(8)
брандмауэр, который в противном случае "должным образом заблокирован" в filter
стол, есть ли смысл использовать DROP
, REJECT
или аналогичные, завершающие, «блокирующие или запрещающие» правила в не-filters
таблицы, а именно NAT
стол (или mangle
, raw
, или security
таблицы в этом отношении)?
Мы специально хотим закрыть любой, потенциал «дыры» в нашем брандмауэре.
NAT
с POSTROUTING
сеть не принимает DROP
или REJECT
нацеливаться хотя бы на одну из систем нашей команды:
$ iptables -t nat -P POSTROUTING DROP
iptables v1.6.1:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.
Try `iptables -h' or 'iptables --help' for more information.
$
$ iptables -t nat -P POSTROUTING REJECT
iptables: Bad policy name. Run `dmesg' for more information.
$
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 18.04.4 LTS
Release: 18.04
Codename: bionic
$
Короткий ответ: нет.
Отрывок из Reddit:
«Пакеты не могут пропустить таблицу фильтров, поэтому удаление пакетов из дополнительной таблицы не дает вам дополнительной безопасности [...]»