¿Cuál es la diferencia entre -j DROP y -j STEAL?

9

A menudo veo que las personas establecen STEALobjetivos en las reglas de iptables. Es posible obtener este objetivo instalando (en Debian) xtables-addons-commony xtables-addons-dkms. Tenía curiosidad por qué la gente prefiere STEALmás DROP, por lo que he comprobado el Manual , pero sólo hay la siguiente información:

   STEAL
       Like the DROP target, but does not throw an error like DROP when used
       in the OUTPUT chain.

¿Alguien sabe qué error? Por ejemplo, podríamos tomar las dos reglas siguientes:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL

y:

-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP

¿Cuál es la diferencia entre ellos?

iptables 
Mikhail Morfikov
fuente

Respuestas:

3

Drop envía un paquete de error cuando se usa con la cadena OUTPUT. Algo así como cómo REJECT devuelve un paquete de error cuando se usa con la cadena INPUT. STEAL no lo hace.

EDITAR: Por bahamat, las extensiones de IPtables son hechas por el equipo de netfilter.

rfelsburg
fuente
1
Estas extensiones son proporcionadas por el equipo de netfilter. De hecho, escriben iptablesy los módulos del núcleo que lo acompañan. El código no está afuera porque es por una parte no confiable. Es porque el código es experimental.
bahamat
Es bueno saber que tenía la impresión de que lo mantenía un grupo externo.
rfelsburg
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.