iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
Итак, я просто выяснил что эти милые правила не действуют, когда дело касается сырых сокетов.
Я знаю, что для захвата сырого сокета требуется разрешение root, поэтому меня не волнует, что цепочка OUTPUT не фильтруется (я уверен, что у меня нет программного обеспечения с бэкдором, работающим как SU).
а как насчет цепочки INPUT? разве отсутствие возможности контролировать входящие пакеты опасно? если нет, то почему все так стараются, чтобы политика по умолчанию была отброшена?