В чем разница между -j DROP и -j STEAL?

9

Я часто вижу, что люди ставят STEALцель в правилах iptables. Эту цель можно получить, установив (в Debian) xtables-addons-commonи xtables-addons-dkms. Мне было интересно , почему люди предпочитают STEALболее DROP, так что я проверил руководство , но есть только следующая информация:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Кто-нибудь знает в чем ошибка? Например, мы могли бы взять два следующих правила:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

а также:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

В чем разница между ними?

iptables 
Михаил Морфиков
источник

Ответы:

3

Drop использует пакет ошибок при использовании с цепочкой OUTPUT. Вроде как REJECT возвращает пакет ошибок при использовании с цепочкой INPUT. STEAL нет.

РЕДАКТИРОВАТЬ: Per Bahamat, расширения IPtables на самом деле сделаны командой netfilter.

rfelsburg
источник
1
Эти расширения предоставляются командой netfilter. Они на самом деле пишут iptablesи модули ядра, которые идут вместе с ним. Код не снаружи, потому что это ненадежная сторона. Это потому, что код экспериментальный.
Багамат
Приятно знать, у меня сложилось впечатление, что его поддерживает внешняя группа.
rfelsburg
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.