Linux用のステートフルユーザースペースファイアウォール

Question

iptables追加処理のために選択したパケットを使用スペースにルーティングできます。（あなたの場合選択したパケット意味するかもしれないすべてのパケット.) 私はそれをしませんでしたが、man iptablesその問題について次のように言いました。

ターゲット

ACCEPT は、パケットが通過できるようにすることを意味します。 DROPはパケットを床に落とすことを意味します。QUEUE は、パケットをユーザー空間に転送することを意味します。（ユーザ空間プロセスがパケットを受信する方法は、特定のキューハンドラによって異なります。2.4.xおよび2.6.xカーネル最大2.6.13にはip_queueキューハンドラが含まれています。されています。この場合、QUEUE 宛のパケットはキュー番号「0」で送信されます。このマニュアルページの後半に記載されているNFQUEUEターゲットも参照してください。)

次に、

NFQUEUE[...] は QUEUE ターゲットの拡張です。QUEUEとは異なり、16ビットのキュー番号で識別される特定のキューにパケットを入れることができます。 [...] nfnetlink_queue カーネルサポートが必要です。

もちろん、これはステートフルファイアウォールのサポートを提供しませんが、少なくともパケットを取得することはできます。これはiptables最初にユーザーにパケットを送信するためにも使用されます。これは許可されていない可能性があります。

Answer 1

iptables追加処理のために選択したパケットを使用スペースにルーティングできます。（あなたの場合選択したパケット意味するかもしれないすべてのパケット.) 私はそれをしませんでしたが、man iptablesその問題について次のように言いました。

ターゲット

ACCEPT は、パケットが通過できるようにすることを意味します。 DROPはパケットを床に落とすことを意味します。QUEUE は、パケットをユーザー空間に転送することを意味します。（ユーザ空間プロセスがパケットを受信する方法は、特定のキューハンドラによって異なります。2.4.xおよび2.6.xカーネル最大2.6.13にはip_queueキューハンドラが含まれています。されています。この場合、QUEUE 宛のパケットはキュー番号「0」で送信されます。このマニュアルページの後半に記載されているNFQUEUEターゲットも参照してください。)

次に、

NFQUEUE[...] は QUEUE ターゲットの拡張です。QUEUEとは異なり、16ビットのキュー番号で識別される特定のキューにパケットを入れることができます。 [...] nfnetlink_queue カーネルサポートが必要です。

もちろん、これはステートフルファイアウォールのサポートを提供しませんが、少なくともパケットを取得することはできます。これはiptables最初にユーザーにパケットを送信するためにも使用されます。これは許可されていない可能性があります。

Linux用のステートフルユーザースペースファイアウォール

ベストアンサー1

おすすめ記事