肯定是 drop 。

垃圾流量直接丢弃

drop 就行。

肯定是 drop

Drop 。顾名思义，丢弃

当然是 DROP 。REJECT 还得回复 ICMP ，浪费出站流量。

给你介绍一下 reject 和 drop ，
假设你欠了别人一大笔钱，然后人家找上门了，
假如你把门一关，直接说，我还不上，爱咋滴咋滴，这就是 reject （直接拒绝），
假如你把门一关，假装自己不在家，对方把门敲破也不出声，这就是 drop ，
以上比方来自刘遄| 《 Linux 就该这么学》。

REJECT 和 DROP 就是一个有回复提示一个没有吧？我的理解是 DROP 更好，想要深入了解可以看看源码。