LinuxでIPパケットをドロップする機能

Question

いくつかの基準に基づいて、自分のマシンから送信されるIPパケットをドロップします。私はiptablesによって提供される機能をチェックしましたが、残念ながら私が探しているものはありません。

私が望むのは、パケット（少なくとも私のマシン上で生成して外出する）へのアクセスです。そして、いくつかの基準に基づいてそれらを落とす能力。

この機能を追加するためにiptablesのソースコードを変更したいのですが、これを行うにはLinuxカーネルモジュールを作るべきですか？私が調べなければならない何か他のものがありますか？

私はいくつかの一般的なガイダンスが必要ですが、そのような機能を追加できるiptablesの特定のファイルのような仕様は非常に便利です！

Answer 1

netfilterのNFQUEUEターゲットを使用できます。ペイロードを解析し、DROPやACCEPTのような決定を返すことができるユーザランドプログラムにパケットを送信します。

マニュアルと例は、netfilter websiteにあります。

この機能は、man iptablesの先頭にあります。

Answer 2

あなたが何をしようとしているように思えますが、これはおそらく新しいiptablesのように実装できます。しかし、より詳細にアドバイスする前に、パケットをドロップしようとしている条件を教えてください。

Answer 3

iptablesを使用して条件に基づいてパケットを破棄できることは間違いありません。条件が複雑な場合は、独自のnetfilterプラグイン（http://netfilter.org/）を作成して、iptablesでできることを増やす必要があります。