No Redhat EL 6,
A política INPUT do iptables é ACCEPT
mas a cadeia INPUT tem entrada REJECT no final. /etc/syconfig/iptables é como abaixo:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Você sabe por que a política é ACCEPT não DROP ?
Acho que definir DROP policy é mais seguro que ACCEPT
no caso de cometer erro na cadeia.
Na verdade, a política não é aplicada a nenhum pacote:
# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
As políticas afetam o que acontece quando o tráfego não é "capturado" por qualquer outra regra.
DROP policy é uma boa ideia se você estiver fortalecendo seu servidor. Provavelmente não é assim por padrão, porque não há como os mantenedores de distribuição saberem como você usará o sistema ou quais serviços você terá ativo no sistema com antecedência.
Como a última regra da cadeia corresponde a todos os pacotes, a política padrão nunca é usada. O uso de uma regra catch all para rejeitar o tráfego restante permite que o método de rejeição seja selecionado e também é mais óbvio quando se olha para iptables -nvL output. Você poderia alterá-lo para REJECT ou DROP se quisesse, mas isso não mudaria o comportamento.