Qual è la differenza tra -j DROP e -j STEAL?

9

Vedo spesso che le persone fissano l' STEALobiettivo nelle regole di iptables. È possibile ottenere questo obiettivo installando (su debian) xtables-addons-commone xtables-addons-dkms. Ero curioso di sapere perchè la gente preferisce STEALsopra DROP, così ho controllato il manuale , ma non c'è solo le seguenti informazioni:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Qualcuno sa quale errore? Ad esempio, potremmo prendere le due seguenti regole:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

e:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

Qual'è la differenza tra loro?

iptables 
Mikhail Morfikov
fonte

Risposte:

3

Drop invia un pacchetto di errori quando utilizzato con la catena OUTPUT. Un po 'come REJECT restituisce un pacchetto di errori se usato con la catena INPUT. STEAL no.

EDIT: Per bahamat, le estensioni di IPtables sono in effetti fatte dal team di netfilter.

rfelsburg
fonte
1
Queste estensioni sono fornite dal team di netfilter. In effetti scrivono iptablese i moduli del kernel che lo accompagnano. Il codice non è esterno perché è di parte non attendibile. È perché il codice è sperimentale.
Bahamat,
Buono a sapersi, avevo l'impressione che fosse gestito da un gruppo esterno.
rfelsburg,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.