DROP ターゲットは文字通りのことを行う。パケットを黙殺し、そこから後の処理は一切行わない。マッチ条件に完全に合致し DROP を受けたパケットはブロックされる。このアクションは、時に望まざる結果をもたらすことに注意しなければならない。"死んだ" ソケットが双方に放置されてしまうのだ。そういった事態が頻発する場合には REJECT ターゲットを使ったほうがいい。その代表的なケースが、フィルタを掛けているポートなどへ向けられたポートスキャナに情報をなるべく渡さないようにしたい場合だ。もうひとつの注意点は、サブチェーンでパケットが DROP されると、そのパケットはもう、親チェーンばかりでなく、他のテーブルに存在するどのチェーンも一切通らないということ。つまり、パケットは完全に死ぬのだ。前述したが、このターゲットは、どちらの方向にも、ルータをはじめとする中継機にさえも、いかなる種類の通知も送らない。
Linux カーネル 2.3, 2.4, 2.5, 2.6 で機能する。 |