"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

(Ключ - Пример - Описание)

Ключ: -limit
Пример: iptables -A INPUT -m limit -limit 3/hour
Описание: Устанавливается средняя скорость "освобождения емкости" за
единицу времени. В качестве аргумента указывается число пакетов и время.
Допустимыми считаются следующие единицы измерения времени:
/second/minute/hour/day. По умолчанию принято значение 3 пакета в час, или
3/hour. Использование флага инверсии условия ! в данном критерии недопустим.

Ключ: -limit-burst
Пример: iptables -A INPUT -m limit -limit-burst 5
Описание: Устанавливает максимальное значение числа burst limit для
критерия limit. Это число увеличивается на единицу если получен пакет,
подпадающий под действие данного правила, и при этом средняя скорость
(задаваемая ключом -limit) поступления пакетов уже достигнута. Так
происходит до тех пор, пока число burst limit не достигнет максимального
значения, устанавливаемого ключом -limit-burst. После этого правило начинает
пропускать пакеты со скоростью, задаваемой ключом -limit. Значение
по-умолчанию принимается равным 5. Для демонстрации принципов работы данного
критерия я написал сценарий Limit-match.txt С помощью этого сценария вы
увидите как работает критерий limit, просто посылая ping-пакеты с различными
временнЫми интервалами.

6.4.3.2. Критерий MAC

MAC (Ethernet Media Access Control) критерий используется для проверки
исходного MAC-адреса пакета. Расширение -m mac, на сегодняшний день,
предоставляет единственный критерий, но возможно в будущем он будет расширен
и станет более полезен.
ПРИМЕЧАНИЕ: Модуль расширения должен подгружаться явно ключом -m mac.
Упоминаю я об этом потому, что многие, забыв указать этот ключ, удивляются,
почему не работает этот критерий.

Таблица 6-9. Ключи критерия MAC
(Ключ - Пример - Описание)

Ключ: -mac-source
Пример: iptables -A INPUT -m mac -mac-source 00:00:00:00:00:01
Описание: MAC адрес сетевого узла, передавшего пакет. MAC адрес должен
указываться в форме XX:XX:XX:XX:XX:XX. Как и ранее, символ ! используется
для инверсии критерия, например -mac-source ! 00:00:00:00:00:01, что
означает - "пакет с любого узла, кроме узла, который имеет MAC адрес
00:00:00:00:00:01" . Этот критерий имеет смысл только в цепочках PREROUTING,
FORWARD и INPUT и нигде более.

6.4.3.3. Критерий Mark

Критерий mark предоставляет возможность "пометить" пакеты специальным
образом. Mark - специальное поле, которое существует только в области памяти