我经常看到人们STEAL在 iptables 规则中设置目标。可以通过安装(在 debian 上)xtables-addons-common和xtables-addons-dkms. 我很好奇为什么人们更喜欢STEALover DROP,所以我检查了手册,但只有以下信息:
STEAL
Like the DROP target, but does not throw an error like DROP when used
in the OUTPUT chain.
有谁知道什么错误?例如,我们可以采用以下两条规则:
-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL
和:
-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP
它们之间有什么区别?
当与 OUTPUT 链一起使用时,Drop 会发送错误数据包。有点像 REJECT 在与 INPUT 链一起使用时如何返回错误数据包。偷窃则不然。
编辑:根据 bahamat,IPtables 扩展实际上是由 netfilter 团队完成的。
| 归档时间: |
|
| 查看次数: |
507 次 |
| 最近记录: |