Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.6.2.5. Opciones de destino

Cuando un paquete ha coincidido con una determinada regla, la regla puede dirigir el paquete a un número de destinos diferentes los cuales determinan la acción apropiada. Cada cadena tiene un destino predeterminado, el cual se utiliza si ninguna de las reglas en esa cadena concuerda con un paquete o si ninguna de las reglas que coinciden con el paquete especifican el destino.
A siguientes son los estándares de destino:
  • <user-defined-chain> — Una cadena definida por usuario dentro de la tabla. Los nombres de cadena definidos por usuario deben ser únicos. Este destino pasa al paquete de la cadena especificada.
  • ACCEPT — Acepta que el paquete continúe a su destino o a otra cadena.
  • DROP — elimina el paquete sin responder al solicitante. El sistema que envió el paquete no es notificado sobre la falla.
  • QUEUE — El paquete está en la cola para ser manejado por una aplicación de espacio de usuario.
  • RETURN — Para de comparar el paquete con las reglas en la cadena actual. Si el paquete con un destino de RETURN concuerda con una regla en una cadena llamada desde otra cadena, el paquete retorna a la primera cadena para continuar la revisión de la regla donde había quedado. Si la regla de RETURN se utiliza en una cadena incorporada y el paquete no se puede desplazar a la cadena anterior, se utilizará el destino predeterminado para la cadena actual.
Además, las extensiones que están disponibles permiten especificar otros destinos. Dichas extensiones se denominan módulos de destino o módulos de opciones coincidentes y la mayoría se aplican a tablas y situaciones específicas. Consulte Sección 2.6.2.4.4, “Módulos de opciones de coincidencia adicionales” para obtener mayor información sobre módulos de opciones coincidentes.
Existen muchos módulos de destino extendido, la mayoría de los cuales solamente se aplican a tablas o situaciones específicas. Algunos de los módulos de destino más populares incluidos de forma predeterminada en Red Hat Enterprise Linux son:
  • LOG — Registra todos los paquetes coincidentes con esta regla. Puesto que el kernel registra los paquetes, el archivo /etc/syslog.conf determina el sitio en donde se escriben estos registros. Los registros se sitúan de forma predeterminada en el archivo /var/log/messages.
    Se pueden usar las opciones adicionales después del destino LOG para especificar la forma en la que el registro se presenta:
    • --log-level — Establece el nivel de prioridad de un evento de registro. Consulte la página de manual syslog.conf para obtener una lista de los niveles de prioridad.
    • --log-ip-options — Registra las opciones establecidas en el encabezamiento del paquete IP.
    • --log-prefix — Sitúa una cadena de hasta 29 caracteres antes de la línea de registro cuando se escribe. Esto es útil para escritura de filtraje de syslog para usar junto con el registro de paquetes.

      Nota

      Debido a un problema con esta opción, debe añadir un espacio final al valor log-prefix.
    • --log-tcp-options — Registra las opciones establecidas en el encabezamiento de un paquete TCP.
    • --log-tcp-sequence — Escribe el número de secuencia TCP para el paquete en el registro.
  • REJECT — Devuelve un paquete de errores al sistema remoto y elimina el paquete.
    El destino REJECT acepta --reject-with <tipo> (donde <tipo> es el tipo de rechazo) y permite una información más detallada que va a ser devuelta con el paquete de errores. El mensaje port-unreachable es el tipo de error predeterminado si no se utiliza otra opción. Consulte la página de manual de iptables para obtener una lista completa de opciones <type>.
Otras extensiones de destino, incluyen varias que son útiles para enmascaramiento de IP mediante la tabla nato con la alteración de paquetes mediante la tabla mangle, se puede hallar en la página de manual de iptables.