Я часто вижу, что люди ставят STEALцель в правилах iptables. Эту цель можно получить, установив (в Debian) xtables-addons-commonи xtables-addons-dkms. Мне было интересно , почему люди предпочитают STEALболее DROP, так что я проверил руководство , но есть только следующая информация:
STEAL
Like the DROP target, but does not throw an error like DROP when used
in the OUTPUT chain.
Кто-нибудь знает в чем ошибка? Например, мы могли бы взять два следующих правила:
-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL
а также:
-A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump DROP
В чем разница между ними?
iptablesи модули ядра, которые идут вместе с ним. Код не снаружи, потому что это ненадежная сторона. Это потому, что код экспериментальный.