Quelle est la différence entre -j DROP et -j STEAL?

9

Je vois souvent que les gens fixent des STEALobjectifs dans les règles iptables. Il est possible d'obtenir cet objectif en installant (sur debian) xtables-addons-commonet xtables-addons-dkms. Je suis curieux de savoir pourquoi les gens préfèrent STEALplus DROP, donc j'ai vérifié le manuel , mais il n'y a que les informations suivantes:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Quelqu'un sait-il quelle erreur? Par exemple, nous pourrions prendre les deux règles suivantes:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

et:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

Quelle est la différence entre eux?

iptables Mikhail Morfikov
la source

Réponses:

3

Drop envoie un paquet d'erreur lorsqu'il est utilisé avec la chaîne OUTPUT. Un peu comme la façon dont REJECT renvoie un paquet d'erreur lorsqu'il est utilisé avec la chaîne INPUT. STEAL ne le fait pas.

EDIT: Par bahamat, les extensions IPtables sont en fait réalisées par l'équipe netfilter.

rfelsburg
la source
1
Ces extensions sont fournies par l'équipe netfilter. Ils écrivent en fait iptableset les modules du noyau qui vont avec. Le code n'est pas à l'extérieur car il provient d'une partie non fiable. C'est parce que le code est expérimental.
bahamat
Bon à savoir, j'avais l'impression qu'elle était entretenue par un groupe extérieur.
rfelsburg