2.6.2.5. Opciones de destino
Cuando un paquete ha coincidido con una determinada regla, la regla puede dirigir el paquete a un número de destinos diferentes los cuales determinan la acción apropiada. Cada cadena tiene un destino predeterminado, el cual se utiliza si ninguna de las reglas en esa cadena concuerda con un paquete o si ninguna de las reglas que coinciden con el paquete especifican el destino.
A siguientes son los estándares de destino:
<user-defined-chain>
— Una cadena definida por usuario dentro de la tabla. Los nombres de cadena definidos por usuario deben ser únicos. Este destino pasa al paquete de la cadena especificada.ACCEPT
— Acepta que el paquete continúe a su destino o a otra cadena.DROP
— elimina el paquete sin responder al solicitante. El sistema que envió el paquete no es notificado sobre la falla.QUEUE
— El paquete está en la cola para ser manejado por una aplicación de espacio de usuario.RETURN
— Para de comparar el paquete con las reglas en la cadena actual. Si el paquete con un destino deRETURN
concuerda con una regla en una cadena llamada desde otra cadena, el paquete retorna a la primera cadena para continuar la revisión de la regla donde había quedado. Si la regla deRETURN
se utiliza en una cadena incorporada y el paquete no se puede desplazar a la cadena anterior, se utilizará el destino predeterminado para la cadena actual.
Además, las extensiones que están disponibles permiten especificar otros destinos. Dichas extensiones se denominan módulos de destino o módulos de opciones coincidentes y la mayoría se aplican a tablas y situaciones específicas. Consulte Sección 2.6.2.4.4, “Módulos de opciones de coincidencia adicionales” para obtener mayor información sobre módulos de opciones coincidentes.
Existen muchos módulos de destino extendido, la mayoría de los cuales solamente se aplican a tablas o situaciones específicas. Algunos de los módulos de destino más populares incluidos de forma predeterminada en Red Hat Enterprise Linux son:
LOG
— Registra todos los paquetes coincidentes con esta regla. Puesto que el kernel registra los paquetes, el archivo/etc/syslog.conf
determina el sitio en donde se escriben estos registros. Los registros se sitúan de forma predeterminada en el archivo/var/log/messages
.Se pueden usar las opciones adicionales después del destinoLOG
para especificar la forma en la que el registro se presenta:--log-level
— Establece el nivel de prioridad de un evento de registro. Consulte la página de manualsyslog.conf
para obtener una lista de los niveles de prioridad.--log-ip-options
— Registra las opciones establecidas en el encabezamiento del paquete IP.--log-prefix
— Sitúa una cadena de hasta 29 caracteres antes de la línea de registro cuando se escribe. Esto es útil para escritura de filtraje de syslog para usar junto con el registro de paquetes.Nota
Debido a un problema con esta opción, debe añadir un espacio final al valor log-prefix.--log-tcp-options
— Registra las opciones establecidas en el encabezamiento de un paquete TCP.--log-tcp-sequence
— Escribe el número de secuencia TCP para el paquete en el registro.
REJECT
— Devuelve un paquete de errores al sistema remoto y elimina el paquete.El destinoREJECT
acepta--reject-with <tipo>
(donde <tipo> es el tipo de rechazo) y permite una información más detallada que va a ser devuelta con el paquete de errores. El mensajeport-unreachable
es el tipo de error predeterminado si no se utiliza otra opción. Consulte la página de manual deiptables
para obtener una lista completa de opciones<type>
.
Otras extensiones de destino, incluyen varias que son útiles para enmascaramiento de IP mediante la tabla
nat
o con la alteración de paquetes mediante la tabla mangle
, se puede hallar en la página de manual de iptables
.