¿Puedes crear tus propias opciones?
Si por crear, te refieres a escribir un módulo del kernel de Linux, entonces sí. Puedes construir todos los módulos y nuevas opciones. También hay muchos módulos de filtro de red no estándar para protocolos y filtros nuevos o desconocidos que no han llegado al núcleo principal.
Los módulos de vez en cuando se agregan al kernel. Así que eso policy El módulo que menciona parece estar disponible en mi sistema Ubuntu 12.04 y en un sistema Debian más antiguo. Pero no está instalado en un sistema Debian aún más antiguo que tengo.
Busqué en estas opciones para iptables pero no pude encontrar nada.
Parece que el sistema Ubuntu lo documenta en la página de manual de iptables (8). También parece estar documentado en el die.net Página de manual de iptables. Muchos no estarán disponibles en su sistema debido a la antigüedad, o porque su sistema fue construido de manera diferente.
Aquí hay un extracto de mi página de manual.
política
Estos módulos coinciden con la política utilizada por IPsec para manejar un paquete.
--dir {in|out}
Used to select whether to match the policy used for decapsula‐
tion or the policy that will be used for encapsulation. in is
valid in the PREROUTING, INPUT and FORWARD chains, out is valid
in the POSTROUTING, OUTPUT and FORWARD chains.
--pol {none|ipsec}
Matches if the packet is subject to IPsec processing. --pol none
cannot be combined with --strict.
...
Si tiene el archivo .config utilizado para compilar su kernel, puede ver si la opción se configuró para construirlo como un módulo
# grep -i policy /boot/config-2.6.26-2-686
CONFIG_NETFILTER_XT_MATCH_POLICY=m