每个 Chain 都有一个默认的 Policy， 也就是如果一个数据包不符合所有规则里的描述就会执行这个默认的 Policy 指定的动作 ..

默认是 ACCEPT，也就是会让数据包通过 .. 这就决定了我们的的防火墙规则有点像是一个黑名单，你需要列出所有你不想要的数据包，再把它们都扔掉或者驳回 ..

我们也可以默认拒绝所有的数据包，然后在规则里面描述一下让你需要的数据包通过 .. 我们可以把默认的规则设置成 DROP 或者 REJECT ..

这样做有很多好处，因为你知道你的服务器需要提供什么样的服务，你只需要让这些服务发送或者接收的数据包正常通过就可以了。

同时我们也可以拒绝个别情况的数据包 .. 比如禁止某个想要干坏事的 IP 地址访问 ..