Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Установка модулей iptables, поддерживающих работу с классификационными метками

В состав ОС СН Смоленск 1.6 с установленным обновлением безопасности № ХХХХХХ включёны пакеты iptables, поддерживающие работу с  классификационными метками:

  • ipatables-astralabel-generic - для использования с ядром generic;
  • ipatables-astralabel-hardened - для использования с ядром hardened;
  • ipatables-astralabel-common - объединяющий метапакет;

Для эффективного использования этих пакетов в межсетевой экран ufw также включена поддержка работы с классификационными метками.

По умолчанию эти пакеты не устанавливаются, и их установка пакетов может быть выполнена с помощью графического менеджера пакетов или из командной строки командой:

sudo apt install ipatables-astralabel-common
Указанная выше команда установит обе версии пакетов generic и hardened. При необходимости эти версии могут быть установлены по отдельности, для чего нужно указать имя соответствующего пакета.


Эта статья применима к:

  • ОС СН Смоленск 1.6 (с установленным обновлением безопасности №ХХХХХ)

Использование модулей iptables, поддерживающих работу с классификационными метками

Модули ipatables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:

ОпцияКомментарийПримеры
--m astralabelУказание на использование модуля astralabel для обработки сетевого трафика
--maclev <уровень>[:<уровень>]

Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам,  имеющих уровень конфиденциальности в указанном диапазоне.


Не принимать пакеты с иерархическими уровнями конфиденциальности от 1до 3-х:

iptables -A INPUT -m astralabel --maclev 1:3 -j DROP

--maccat <бит_категории>Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов не допускаются, однако в одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты).

Не пропускать исходящие пакеты с установленными одновременно битами категорий 2 и 3:

iptables -A OUTPUT -m astralabel --maccat 2 --maccat 3 -j DROP


Опции maclev и maccat могут применяться одновременно в одном правиле.

Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями.

Не принимать пакеты с установленными битами категорий 2 и 3 и уровнем конфиденциальности 3:

iptables -A INPUT -m astralabel --maclev 3 --maccat 2 --maccat 3 -j DROP


Правила могут быть реверсированы с помощью модификатора "!".

Если указано несколько опций, то модификатор применяется к результирующему правилу.

Не пропускать исходящие пакеты, имеющие уровень конфиденциальности не равный нулю:

iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP

Однако такое правило будет пропускать исходящие пакеты, имеющие нулевой уровень конфиденциальности и ненулевые категории доступа.


Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило

iptables -A OUTPUT -m astralabel -j DROP

запретит все исходящие пакеты, имеющие ненулевую классификационную метку.

Использование ufw для работы с классификационными метками

Для фильтрации сетевых пакетов по содержимому их классификационных меток в межсетевой экран добавлены опции maclev и maccat, по действию аналогичные соответствующим опциям iptables. Для того, чтобы эти опции работали, в системе должны быть установлен пакеты iptables-astralabel



  • Нет меток