"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора
более 3-х пакетов в минуту. Таким образом, данный модуль может
использоваться для защиты от нападений типа "Отказ в обслуживании".
CONFIG_IP_NF_MATCH_MAC - Этот модуль позволит строить правила,
основанные на MAC-адресации. Как известно, каждая сетевая карта имеет свой
собственный уникальный Ethernet-адрес, таким образом, существует возможность
блокировать пакеты, поступающие с определенных MAC-адресов (т.е. с
определенных сетевых карт). Следует, однако, отметить что данный модуль не
используется в rc.firewall.txt или где либо еще в данном руководстве.
CONFIG_IP_NF_MATCH_MARK - Функция маркировки пакетов MARK. Например,
при использовании функции MARK мы получаем возможность пометить требуемые
пакеты, а затем, в других таблицах, в зависимости от значения метки,
принимать решение о маршрутизации помеченного пакета. Более подробное
описание функции MARK приводится ниже в данном документе.
CONFIG_IP_NF_MATCH_MULTIPORT - Этот модуль позволит строить правила с
проверкой на принадлежность пакета к диапазону номеров портов
источника/приемника.
CONFIG_IP_NF_MATCH_TOS - Этот модуль позволит строить правила,
отталкиваясь от состояния поля TOS в пакете. Поле TOS устанавливается для
Type Of Service. Так же становится возможным устанавливать и сбрасывать биты
этого поля в собственных правилах в таблице mangle или командами ip/tc.
CONFIG_IP_NF_MATCH_TCPMSS - Эта опция добавляет возможность проверки
поля MSS в TCP-пакетах.
CONFIG_IP_NF_MATCH_STATE - Это одно из самых серьезных
усовершенствований по сравнению с ipchains. Этот модуль предоставляет
примеру, допустим, что мы имеем установленное TCP соединение, с траффиком в
оба конца, тогда пакет полученный по такому соединению будет считаться
ESTABLISHED (установленное соединение - прим. ред). Эта возможность широко
используется в примере rc.firewall.txt.
CONFIG_IP_NF_MATCH_UNCLEAN - Этот модуль реализует возможность
дополнительной проверки IP, TCP, UDP и ICMP пакетов на предмет наличия в них
несоответствий, "странностей", ошибок. Установив его мы, к примеру, получим
возможность "отсекать" подобного рода пакеты. Однако хочется отметить, что
данный модуль пока находится на экспериментальной стадии и не во всех
случаях будет работать одинаково, поэтому никогда нельзя будет быть
уверенным, что мы не "сбросили" вполне правильные пакеты.
CONFIG_IP_NF_MATCH_OWNER - Проверка "владельца" соединения (socket).
Для примера, мы можем позволить только пользователю root выходить в
Internet. Этот модуль был написан как пример работы с iptables. Следует
заметить, что данный модуль имеет статус экспериментального и может не
всегда выполнять свои функции.
CONFIG_IP_NF_FILTER - Реализация таблицы filter в которой в основном и
осуществляется фильтрация. В данной таблице находятся цепочки INPUT, FORWARD
и OUTPUT. Этот модуль обязателен, если вы планируете осуществлять фильтрацию
пакетов.
CONFIG_IP_NF_TARGET_REJECT - Добавляется действие REJECT, которое
производит передачу ICMP-сообщения об ошибке в ответ на входящий пакет,
который отвергается заданным правилом. Запомните, что TCP соединения, в
отличие от UDP и ICMP, всегда завершаются или отвергаются пакетом TCP RST.
| © 2024 Библиотека RealLib.org (support [a t] reallib.org) |