Salida de iptables con opciones desconocidas

0

He estado aprendiendo y estudiando sobre iptables y reenvío de puertos. Hay un ejemplo de salida de iptables que no puedo descifrar. Tiene las opciones --dir, --pol, y -m. Aunque estoy familiarizado con -m no fue seguido por un límite o una opción listada. en su lugar es -m política

Busqué en estas opciones para iptables pero no pude encontrar nada. ¿Puedes crear tus propias opciones?

-A ENTRADA -s 2.2.2.80/32 -d 2.2.2.2/32 -i eth2 -m policy --dir in --pol ipsec --reqid 6 --proto esp -j ACCEPT

firewall port-forwarding iptables n00bie
fuente
Podría intentar listar esta salida de muestra, sin saber qué está haciendo, es difícil decir lo que está preguntando.
Mokubai

Respuestas:

0

¿Puedes crear tus propias opciones?

Si por crear, te refieres a escribir un módulo del kernel de Linux, entonces sí. Puedes construir todos los módulos y nuevas opciones. También hay muchos módulos de filtro de red no estándar para protocolos y filtros nuevos o desconocidos que no han llegado al núcleo principal.

Los módulos de vez en cuando se agregan al kernel. Así que eso policy El módulo que menciona parece estar disponible en mi sistema Ubuntu 12.04 y en un sistema Debian más antiguo. Pero no está instalado en un sistema Debian aún más antiguo que tengo.

Busqué en estas opciones para iptables pero no pude encontrar nada.

Parece que el sistema Ubuntu lo documenta en la página de manual de iptables (8). También parece estar documentado en el die.net Página de manual de iptables. Muchos no estarán disponibles en su sistema debido a la antigüedad, o porque su sistema fue construido de manera diferente.

Aquí hay un extracto de mi página de manual.

política          Estos módulos coinciden con la política utilizada por IPsec para manejar un paquete. 

   --dir {in|out}
          Used to select whether to match the policy used  for  decapsula‐
          tion  or  the policy that will be used for encapsulation.  in is
          valid in the PREROUTING, INPUT and FORWARD chains, out is  valid
          in the POSTROUTING, OUTPUT and FORWARD chains.

   --pol {none|ipsec}
          Matches if the packet is subject to IPsec processing. --pol none
          cannot be combined with --strict.

...

Si tiene el archivo .config utilizado para compilar su kernel, puede ver si la opción se configuró para construirlo como un módulo 

# grep -i policy /boot/config-2.6.26-2-686 
CONFIG_NETFILTER_XT_MATCH_POLICY=m
Zoredache
fuente