Использование модулей iptables, поддерживающих работу с классификационными метками
Модули ipatables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:
Опция | Комментарий | Примеры |
---|---|---|
--m astralabel | Указание на использование модуля astralabel для обработки сетевого трафика | |
--maclev <уровень>[:<уровень>] | Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам, имеющих уровень конфиденциальности в указанном диапазоне. | Не принимать пакеты с иерархическими уровнями конфиденциальности от 1до 3-х: iptables -A INPUT -m astralabel --maclev 1:3 -j DROP |
--maccat <бит_категории> | Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов не допускаются, однако в одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты). | Не пропускать исходящие пакеты с установленными одновременно битами категорий 2 и 3: iptables -A OUTPUT -m astralabel --maccat 2 --maccat 3 -j DROP |
Опции maclev и maccat могут применяться одновременно в одном правиле. Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями. | Не принимать пакеты с установленными битами категорий 2 и 3 и уровнем конфиденциальности 3: iptables -A INPUT -m astralabel --maclev 3 --maccat 2 --maccat 3 -j DROP | |
Правила могут быть реверсированы с помощью модификатора "!". Если указано несколько опций, то модификатор применяется к результирующему правилу. | Не пропускать исходящие пакеты, имеющие уровень конфиденциальности не равный нулю: iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP Однако такое правило будет пропускать исходящие пакеты, имеющие нулевой уровень конфиденциальности и ненулевые категории доступа. |
Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило
запретит все исходящие пакеты, имеющие ненулевую классификационную метку.