2.6.2.5. Opções de Alvo

Quando um pacote coincidiu uma regra específica, a regra pode direcionar o pacote para diversos alvos diferentes que determinam a ação apropriada. Cada corrente possui um alvo padrão, que é usado se nenhuma das regras na corrente coincidir um pacote ou se nenhuma das regras que coincidem com o pacote especificarem um alvo.

Seguem os alvos padrões:

<user-defined-chain> — Uma corrente definida pelo usuário dentro da tabela. Nomes de correntes definidas pelo usuário devem ser únicas. Este alvo passa o pacote à corrente especificada.
ACCEPT — Permite o pacote passar para seu destino ou para outra corrente.
DROP — Despeja o pacote sem responder ao requisitante. O sistema que enviou o pacote não é notificado da falha.
QUEUE — O pacote é enfileirado para manuseio por um aplicativo do espaço de usuário.
RETURN — Para a verificação de pacote contra as regras na corrente atual. Se o pacote com um alvo RETURN coincide com uma regra em uma corrente chamada de outra corrente, o pacote é retornado à primeira corrente para retomar a verificação de regra onde ele parou. Se a regra RETURN for usada em uma corrente embutida e o pacote não puder mover para sua corrente anterior, o alvo padrão para a corrente atual será usado.

Além disso, as extensões estão disponíveis que permitem outros alvos a serem especificados. Estas extensões são chamadas de módulos alvo ou módulos de opção coincidente e se aplicam mais às tabelas específicas e situações. Consulte a Seção 2.6.2.4.4, “Módulos de Opção de Coincidência Adicional” para obter mais informações sobre módulos de opção de coincidência.

Muitos módulos de alvo estendidos existem, a maioria deles só se aplica à tabelas específicas ou situações. Alguns dos módulos de alvo mais populares incluídos por padrão no Red Hat Enterprise Linux são:

LOG — Registra em log todos os pacotes que coincidem com esta regra. Como os pacotes são autenticados pelo kernel, o arquivo /etc/syslog.conf determina onde estas entradas de log são escritas. Por padrão, elas são colocadas no arquivo /var/log/messages.
Opções adicionais podem ser usadas após o alvo LOG para especificar a forma na qual a autenticação ocorre:
- --log-level — Define o nível de prioridade de um evento de log. Consulte a página man syslog.conf para obter uma lista de níveis de prioridade.
- --log-ip-options — Registra em log qualquer opção definida no cabeçalho de um pacote IP.
- --log-prefix — Coloca uma faixa de até 29 caracteres antes da linha do log quando ela é escrita. Isto é útil para escrever filtros de syslog para usar em conjunto com registro em log dos pacotes.
  Nota
  Devido à um problema com esta opção, você precisa adicionar um espaço à direita ao valor log-prefix .
- --log-tcp-options — Registra em log qualquer opção definida no cabeçalho de um pacote de TCP.
- --log-tcp-sequence — Escreve o número sequencial de TCP para o pacote no log.
REJECT — Envia um pacote de erro de volta ao sistema remoto e despeja o pacote.
O alvo REJECT aceita --reject-with <type> (onde <type> é o tipo de rejeição) permitindo mais informações detalhadas a serem retornadas com pacote de erro. A mensagem port-unreachable é o tipo de erro padrão dado se nenhuma opção for utilizada. Consulte a página man iptables para obter uma lista completa de opções <type>.

Outras extensões de alvo, incluindo diversos que são úteis para o mascaramento do IP usando a tabela nat, ou com a alteração do pacote usando a tabela mangle, podem ser encontradas na página man do iptables .

Voltar ao topo

2.6.2.5. Opções de Alvo

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Tornando o open source mais inclusivo

Sobre a Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links