Использование модулей iptables, поддерживающих работу с классификационными метками
Модули ipatables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:
Опция | Комментарий | Примеры |
---|---|---|
--m astralabel | Указание на использование модуля astralabel для обработки сетевого трафика | |
--maclev <уровень>[:<уровень>] | Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам, имеющих уровень конфиденциальности в указанном диапазоне включительно. | Не принимать пакеты с иерархическими уровнями конфиденциальности от 1 до 3-х: iptables -A INPUT -m astralabel --maclev 1:3 -j DROP |
Опция maclev может быть "реверсирована" с помощью модификатора "!". | Не пропускать исходящие пакеты, имеющие уровень конфиденциальности не равный нулю: iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP Однако такое правило будет пропускать исходящие пакеты, имеющие нулевой уровень конфиденциальности и ненулевые категории доступа. | |
--maccat <бит_категории> | Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов и реверсирование не допускаются, однако в одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты). Нумерация битов категорий начинается с единицы. | Не пропускать исходящие пакеты с установленными одновременно битами категорий 1 и 2: iptables -A OUTPUT -m astralabel --maccat 1 --maccat 2 -j DROP |
Опции maclev и maccat могут применяться одновременно в одном правиле. Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями. | Не принимать пакеты с установленными битами категорий 1 и 2 и уровнем конфиденциальности 3: iptables -A INPUT -m astralabel --maclev 3 --maccat 1 --maccat 2 -j DROP |
Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило
запретит все исходящие пакеты, имеющие ненулевую классификационную метку.