Saída de Iptables com opções desconhecidas

0

Eu tenho aprendido e estudado o iptables e o redirecionamento de portas. Há uma saída de exemplo do iptables que não consigo decifrar. Tem as opções --dir, --pol e -m. Embora eu esteja familiarizado com -m, não foi seguido por um limite ou uma opção listada. em vez disso, é -m policy

Eu pesquisei estas opções para o iptables, mas não consegui encontrar nada. Você pode criar suas próprias opções?

-A ENTRADA -s 2.2.2.80/32 -d 2.2.2.2/32 -i eth2 -m política --dir in --pol ipsec --reqid 6 --proto esp -j ACEITAR

    
por n00bie 18.09.2013 / 23:18

1 resposta

0

Can you create your own options?

Se por criação, você quer dizer escrever um módulo Linux Kernel, então sim. Você pode construir todos os módulos e novas opções. Existem também muitos módulos de filtros de rede não padronizados para protocolos obscuros ou novos e filtragem que não entraram no kernel da linha principal.

Os módulos ocasionalmente são adicionados ao kernel. Então, o módulo policy que você mencionou parece estar disponível no meu sistema Ubuntu 12.04 e em um sistema Debian mais antigo. Mas ele não está instalado em um sistema Debian ainda mais antigo que eu tenho.

I searched these options for iptables but wasn't able to find anything.

Parece ser documentado pelo sistema Ubuntu na página man do iptables (8). Ele também parece estar documentado na página de manual do die.net iptables. Muitos não estão disponíveis no seu sistema devido à idade ou porque o seu sistema foi construído de forma diferente.

Aqui está um trecho da minha página de manual.

policy This modules matches the policy used by IPsec for handling a packet.

   --dir {in|out}
          Used to select whether to match the policy used  for  decapsula‐
          tion  or  the policy that will be used for encapsulation.  in is
          valid in the PREROUTING, INPUT and FORWARD chains, out is  valid
          in the POSTROUTING, OUTPUT and FORWARD chains.

   --pol {none|ipsec}
          Matches if the packet is subject to IPsec processing. --pol none
          cannot be combined with --strict.

...

Se você tiver o arquivo .config usado para construir seu kernel, você pode ver se a opção foi configurada para construir isso como um módulo

# grep -i policy /boot/config-2.6.26-2-686 
CONFIG_NETFILTER_XT_MATCH_POLICY=m
    
por 19.09.2013 / 01:52