Quando eu listo as regras iptables para filter table com iptables -t filter -L -vvv --line-numbers , vejo números de entrada de 0 a 124 na saída de depuração. A última entrada é a seguinte:
Entry 124 (42880):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: ''/................to ''/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 0 packets, 0 bytes
Cache: 00000000
Target name: 'ERROR' [64]
error='ERROR'
Quando os pacotes acabam nessa meta ERROR ?
Acho que você encontrará sua resposta no comentário principal de libip4tc.c :
/* Library which manipulates firewall rules. Version 0.1. */
/* Architecture of firewall rules is as follows:
*
* Chains go INPUT, FORWARD, OUTPUT then user chains.
* Each user chain starts with an ERROR node.
* Every chain ends with an unconditional jump: a RETURN for user chains,
* and a POLICY for built-ins.
*/