Quelle est la différence entre -j DROP et -j STEAL?


9

Je vois souvent que les gens fixent des STEALobjectifs dans les règles iptables. Il est possible d'obtenir cet objectif en installant (sur debian) xtables-addons-commonet xtables-addons-dkms. Je suis curieux de savoir pourquoi les gens préfèrent STEALplus DROP, donc j'ai vérifié le manuel , mais il n'y a que les informations suivantes:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Quelqu'un sait-il quelle erreur? Par exemple, nous pourrions prendre les deux règles suivantes:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

et:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP 

Quelle est la différence entre eux?

Réponses:


3

Drop envoie un paquet d'erreur lorsqu'il est utilisé avec la chaîne OUTPUT. Un peu comme la façon dont REJECT renvoie un paquet d'erreur lorsqu'il est utilisé avec la chaîne INPUT. STEAL ne le fait pas.

EDIT: Par bahamat, les extensions IPtables sont en fait réalisées par l'équipe netfilter.


1
Ces extensions sont fournies par l'équipe netfilter. Ils écrivent en fait iptableset les modules du noyau qui vont avec. Le code n'est pas à l'extérieur car il provient d'une partie non fiable. C'est parce que le code est expérimental.
bahamat

Bon à savoir, j'avais l'impression qu'elle était entretenue par un groupe extérieur.
rfelsburg
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.