Jaka jest różnica między -j DROP a -j STEAL?

9

Często widzę, że ludzie ustawiają STEALcel w regułach iptables. Możliwe jest uzyskanie tego celu poprzez instalację (na Debianie) xtables-addons-commoni xtables-addons-dkms. Byłem ciekaw, dlaczego ludzie wolą STEALsię DROP, więc sprawdziłem podręcznik , ale nie tylko następujące informacje:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Czy ktoś wie jaki błąd? Na przykład możemy przyjąć dwie następujące zasady:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

i:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP 

Jaka jest różnica między nimi?

Michaił Morfikow
źródło

Odpowiedzi:

3

Drop wysyła pakiet błędów, gdy jest używany z łańcuchem OUTPUT. Coś w stylu, w jaki sposób REJECT zwraca pakiet błędów, gdy jest używany z łańcuchem INPUT. STEAL nie.

EDYCJA: Na bahamat, rozszerzenia IPtables są w rzeczywistości wykonywane przez zespół netfilter.

rfelsburg
źródło
1
Te rozszerzenia są dostarczane przez zespół netfilter. W rzeczywistości piszą iptablesi moduły jądra, które są z nim zgodne. Kod nie jest na zewnątrz, ponieważ pochodzi od niezaufanego podmiotu. To dlatego, że kod jest eksperymentalny.
bahamat
Dobrze wiedzieć, miałem wrażenie, że utrzymywała je grupa zewnętrzna.
rfelsburg