LINUX iptable应用手册(四)

Home

linux网络专题

Linux网络安全

第四篇

任何有效的dscp筛选条件，都至少要含有上述选项的其中之一，《表23》是各种DSCP分级的说明，《表24》是DSCP值与分级名称的对应关系。

相关参考：● 《DSCP目标》● RFC 2474《Definition of the Differentiated Services Field（DS Field）in the Ipv4 and Ipv6 Headers》（位于http://www.rfc-editor.org/rfc/rfc2474.txt）。● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。DSCP目标设定IPv4包标头里的DSCP栏位值。DSCP栏位是IPv4 header的TOS位元组的重新演绎。《表25》是DSCP目标的选项。============================诀窍本目标必须在核心支援CONFIG_IP_NF_TARGET_DSCP组态时才有效。============================

任何有效的DSCP目标，都至少要含有上述选项的其中之一。举例来说，若要将所有出境包的DSCP栏位设定为0x0e：iptables -t mangle -A OUTPUT -j DSCP - -set-dscp 0x0e相关参考：● 《dscp过滤条件》● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。ecn过滤条件以IPv4 header中的Explicit Congestion Notification（ECN）栏位为过滤条件。《表26》说明本过滤条件的选项。===========================诀窍本目标必须在核心支援CONFIG_IP_NF_MATCH_ECN组态时才有效。===========================

相关参考：● 《ECN目标》。● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。 ● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。============================诀窍本目标必须在核心支援CONFIG_IP_NF_TARGET_ECN组态时才有效。============================

相关参考：● 《ecn过滤条件》。● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。 ● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。Esp过滤条件本扩充模组使iptables可以用IPSec协定的Encapsulating Security Payload (ESP）header的Security Parameters Index （SPI）栏位为过滤条件。目的地位址与SPI栏位共同构成包的SA。使用esp过滤条件之前，必须先以 -p载入相关协定（esp或ipv6-crypt）的扩充模组。《表28》说明本过滤条件的唯一选项。=========================诀窍本过滤条件必须在核心支援CONFIG_IP_NF_MATCH_AH_ESP组态时才有效。=========================

范例：iptable -A INPUT -p esp -m esp - -espspi 500 -j DROP关于IPv6协定，请参阅《IPv6 Essentials》（Silvia Hagen著，O Reilly 出版）相关参考：《ah过滤条件》。FTOS目标此目标的作用，是将包的整个Type of Service （ToS）栏位设定为特定值。它不理会ToS栏位的特殊演绎，象是级别服务（Differentiated Services），也不理会ToS各个子栏位的意义。FTOS目标只有一个选项，见《表29》。

举例来说，下列命令将出境包设定为「普通服务」（0x00，对应名称为Normal-Service）：iptables -t mangle -A OUTPUT -j FTOS - -set-ftos 0相关参考：● 《tos过滤条件》●如果只想影响ToS栏位的子栏位，请参阅《TOS目标》。helper扩充模组加载特定协议的联机追踪辅助模组，由该模组过滤所追踪的连线类型之封包。《表30》说明本模组唯一支持的选项。诀窍本模组必须在核心支持CONFIG_IP_NF_MATCH_HELPER组态时才有效。

举例来说，若希望IRC通讯(Internet Relay Chat）能通过防火墙，应该使用下列命令戴入irc辅助模组：iptable -A INPUT -m -helper - -helper irc -j ACCEPTicmp过滤条件本扩充摸组使iptables能够以「网际控制讯息协定」（ICMP）特有的资讯为过滤条件。使使用icmp过滤条件之前，必须先用 -p icmp戴入本模组。《图4》是ICMP header的各个栏位。《表31》说明icmp过滤条件的选项。

《表32》正式ICMP协定型别与代码，最新的正式资料在：http://www.iana.org/assignments/icmp-parameters(参考RFC3232《Assigned Numbers：RFC 1700 is Replaced by an On-line Database》，位于http://www.rfc-editor.org/rfc/rfc3232.txt）。请留心《表32》的「名称」栏，以中文或粗体字型表示的项目，表示你只能以「代码」来表示该项目，而不是名称。