Was ist der Unterschied zwischen -j DROP und -j STEAL?

9

Ich sehe oft, dass Leute STEALin iptables-Regeln Ziele setzen . Es ist möglich, dieses Ziel durch Installation (auf Debian) xtables-addons-commonund zu erhalten xtables-addons-dkms. Ich war neugierig , warum Menschen es vorziehen , STEALüber DROP, so dass ich das überprüft Handbuch , aber es gibt nur die folgenden Informationen:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

Weiß jemand welchen Fehler? Zum Beispiel könnten wir die beiden folgenden Regeln anwenden:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

und:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

Was ist der Unterschied zwischen ihnen?

iptables Mikhail Morfikov
quelle

Antworten:

3

Drop sendet ein Fehlerpaket, wenn es mit der OUTPUT-Kette verwendet wird. Ein bisschen wie, wie REJECT ein Fehlerpaket zurückgibt, wenn es mit der INPUT-Kette verwendet wird. STEAL nicht.

EDIT: Per Bahamat werden die IPtables-Erweiterungen tatsächlich vom Netfilter-Team durchgeführt.

rfelsburg
quelle
1
Diese Erweiterungen werden vom Netfilter-Team bereitgestellt. Sie schreiben tatsächlich iptablesund die dazugehörigen Kernelmodule. Der Code ist nicht außerhalb, da er von einer nicht vertrauenswürdigen Partei stammt. Das liegt daran, dass der Code experimentell ist.
Bahamat
Gut zu wissen, ich hatte den Eindruck, dass es von einer externen Gruppe gepflegt wurde.
Rfelsburg