Яка різниця між -j DROP та -j STEAL?

9

Я часто бачу, що люди встановлюють STEALціль у правилах iptables. Цю ціль можна отримати, встановивши (на debian) xtables-addons-commonта xtables-addons-dkms. Мені було цікаво , чому люди вважають за краще STEALбільше DROP, так що я перевірив керівництво , але є тільки така інформація:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Хтось знає, яка помилка? Наприклад, ми можемо взяти два наступні правила:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

і:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

У чому різниця між ними?

iptables 
Михайло Морфіков
джерело

Відповіді:

3

Drop надсилає пакет помилок при використанні з ланцюгом OUTPUT. Начебто, як REJECT повертає пакет помилок при використанні з ланцюгом INPUT. STEAL - ні.

EDIT: На багамат розширення IPtables насправді робиться командою netfilter.

rfelsburg
джерело
1
Ці розширення надає команда netfilter. Вони насправді записують iptablesі модулі ядра, які йдуть разом з ним. Код не знаходиться за межами, тому що це ненадійна сторона. Це тому, що код експериментальний.
Багамат
Добре знати, я був під враженням, що його підтримує зовнішня група.
rfelsburg
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.