Возможность отбрасывать IP-пакеты в Linux

Question

Я хочу отбрасывать исходящие IP-пакеты со своего компьютера на основании некоторых критериев.Я проверил возможности, предоставляемые iptables, но, к сожалению, у него нет того, что я ищу.

Так что мне нужен доступ к пакетам (по крайней мере, те, которые генерируются на моей машине и выходят).И на основе некоторых критериев возможность их отбрасывать.

Стоит ли мне смотреть на изменение исходного кода iptables для добавления этой функциональности ИЛИ я должен сделать модуль ядра Linux для этого?или есть что-то еще, на что я должен обратить внимание?

Я хочу получить общее руководство, но любые особенности, такие как определенный файл в iptables, где такая функциональность может быть добавлена, тоже будут очень полезны!

Answer 1

Я почти уверен, что iptables можно использовать для отбрасывания пакетов в зависимости от условия.Если условие сложное, вам может потребоваться написать собственный плагин netfilter (http://netfilter.org/), чтобы дополнить то, что можно сделать с помощью iptables.

Answer 2

Вы можете использовать цель NFQUEUE сетевого фильтра. Он отправляет пакеты в пользовательскую программу, которая может анализировать полезную нагрузку и возвращать решение типа DROP или ACCEPT

Документацию и примеры можно найти на сайте netfilter .

Эта функциональность упоминается в начале man iptables ...

Answer 3

Из того, что вы описываете, похоже, что то, что вы пытаетесь сделать, может быть реализовано как новое iptables совпадение.Вы должны сообщить нам, на каких условиях вы пытаетесь отбросить пакеты, прежде чем мы сможем сообщить вам более подробно.