LINUX iptable应用手册(六)

第六篇实际的日志讯息会被记录在哪个档案，取决于当时系统的syslog.conf组态是如何设定的。对于iptables的讯息而言，右于它是位于Linux核心的机制，所以．如果你使用 - -log-level info选项，你应该寻找kern.=info path 。如果需要更进阶的日志记录能力，请参考《ULOG目标》。mac过滤条件此扩充模块让iptables可以使用Ethernet界面的「Media Access Controller」（MAC）位址为过滤条件。《表44》说明此过滤条件唯一的选项。严格来说，MAC位址不算IP协议的过滤条件，因为在OSI layer架构中，Ethernet的位阶低于IP；然而，由于许多IP网络路架设在Ethernet 上，也就是说，大多数系统可以取得MAC信息，也因此mac成为重要的的扩充模组之一。=============================诀窍本过滤条件必须在核心支持CONFIG_IP_NF_MATCH_MAC组态时才有效。==============================由於mac扩充模组只能过滤传讯方的MAC位址(过滤dest MAC是沒有意义的)，所以此过滤条件只能用于PREROUTING、FORWARD或INPUT链结裡的规则，而且只对来自Ethernet装置的封包才有效。举例来說，下列规则限制ethl介面只能夠与特定Ethernet装置通讯：iptables -A PREROUTING -i ethl -m mac - -mac-source! 0d：bc：97：02：18：2l -j DROP上述规则很适合用於无線网路环境裡.mark过滤条件过滤含有特定标记值的封包。封包标记功能，通常搭配ip命令(iproute2套件的工具程式之一)使用，用以执行进阶的选径应用。《表45》說明此过滤条件唯一的选项。Linux核心容许你贴一个「标记」(一个整数值)到某个封包，然后将该封包(连同标记)传给核心的另一个部门接手处理。请注意，「标记」並非储存於封包本身(也就是說，被贴标记的封包，其header与body都不会被改变)，而是核心另外维护的一段中介资料(metadata)，所以，当封包离开贴它们帖标记的电脑(当封包被转交给其它电脑时，就会发生这种现象)，标记信息就会跟著消失。===========================诀窍本过滤条件必须在核心支援CONFIG_IP_NF_MATCH_MARK组态时才有效。===========================mask可用来让你将核心的标记值当成一组位元栏来处理．不过，MARK目标扩充模组並不支援mask的使用，所以你不能利用iptables来渐进地设定位元栏。相关参考： MARK目标设定包的标记。包的标记功能，通常搭配ip命令(iproute2套件的工具程式之一)使用，用以执行进阶的选径应用。《表46》說明MARK目标唯一的选项。=============================诀窍本目标必须在核心支援CONFIG_IP_NF_TARGET_MARK组态时才有效。MARK目标只能用於mangle表格。=============================相关参考：● (mark过滤条件)

		LINUX iptable应用手册(六)

UNIX/LINUX中使用MRTG自动画虚拟主机流量图< 上页		下页 >如何使用FreeBSD防火墙保护企业网络