Использование модулей iptables, поддерживающих работу с классификационными метками
Модули ipatables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:
Опция | Комментарий | Примеры | ||
---|---|---|---|---|
--m astralabel | Указание на использование модуля astralabel для обработки сетевого трафика | |||
--maclev <уровень>[:<уровень>] | Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам, имеющих уровень конфиденциальности в указанном диапазоне включительно. | Не принимать пакеты с иерархическими уровнями конфиденциальности от 1 до 3-х: iptables -A INPUT -m astralabel --maclev 1:3 -j DROP | ||
Опция maclev может быть "реверсирована" инверсирована с помощью модификатора "!". | Не пропускать исходящие пакеты, имеющие иерархический уровень конфиденциальности не равный нулю: iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP
| |||
--maccat <бит_категории> | Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов и реверсирование инверсирование не поддерживаются. В одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты).
| Не пропускать исходящие пакеты с установленными одновременно битами категорий 1 и 2: iptables -A OUTPUT -m astralabel --maccat 1 --maccat 2 -j DROP | ||
Опции maclev и maccat могут применяться одновременно в одном правиле. Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями. | Не принимать пакеты с установленными битами категорий 1 и 2 и уровнем конфиденциальности 3: iptables -A INPUT -m astralabel --maclev 3 --maccat 1 --maccat 2 -j DROP |
Предупреждение | ||
---|---|---|
Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило
запретит все исходящие пакеты, имеющие ненулевую классификационную метку (т.е. имеющие ненулевой уровень конфиденциальности и/или ненулевые категории доступа). |