"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора
обратно (отражение). Например, если назначить действие MIRROR для пакетов,
идущих в порт HTTP через нашу цепочку INPUT (т.е. на наш WEB-сервер прим.
перев.), то пакет будет отправлен обратно (отражен) и, в результате,
отправитель увидит свою собственную домашнюю страничку. (Тут одни сплошные
"если": Если у отправителя стоит WEB-сервер, если он работает на том же
порту, если у отправителя есть домашняя страничка, и т.д. . Суть-то
собственно сводится к тому, что с точки зрения отправителя все выглядит так,
как будто бы пакет он отправил на свою собственную машину, а проще говоря,
действие MIRROR меняет местами адрес отправителя и получателя и выдает
измененный пекет в сеть прим. перев.)
CONFIG_IP_NF_NAT - Трансляция сетевых адресов в различных ее видах. С
помощью этой опции вы сможете дать выход в Интернет всем компьютерам вашей
локальной сети, имея лишь один уникальный IP-адрес. Эта опция необходима для
работы примера rc.firewall.txt.
CONFIG_IP_NF_TARGET_MASQUERADE - Маскарадинг. В отличие от NAT,
маскарадинг используется в тех случаях, когда заранее неизвестен наш
IP-адрес в Интернете, т.е. для случаев DHCP, PPP, SLIP или какого-либо
другого способа подключения, подразумевающего динамическое получение
IP-адреса. Маскарадинг дает несколько более высокую нагрузку на компьютер,
по сравнению с NAT, однако он работает в ситуациях, когда невозможно заранее
указать собственный внешний IP-адрес.
CONFIG_IP_NF_TARGET_REDIRECT - Перенаправление. Обычно это действие
используется совместно с проксированием. Вместо того, чтобы просто
пропустить пакет дальше, это действие перенаправляет пакет на другой порт
способом мы можем выполнять "прозрачное проксирование".
CONFIG_IP_NF_TARGET_LOG - Добавляет действие LOG в iptables. Мы можем
использовать этот модуль для фиксации отдельных пакетов в системном журнале
(syslog). Эта возможность может оказаться весьма полезной при отладке ваших
сценариев.
CONFIG_IP_NF_TARGET_TCPMSS - Эта опция может использоваться для
преодоления ограничений, накладываемых некоторыми провайдерами (Internet
Service Providers), которые блокируют ICMP Fragmentation Needed пакеты. В
результате таких ограничений серверы провайдеров могут не передавать
web-страницы, ssh может работать, в то время как scp обрывается после
установления соединения и пр. Для преодоления подобного рода ограничений мы
можем использовать действие TCPMSS ограничивая значение MSS (Maximum Segment
Size) (обычно MSS ограничивается размером MTU исходящего интерфейса минус 40
байт прим. перев.). Таким образом мы получаем возможность преодолеть то, что
авторы netfilter называют "преступной безмозглостью провайдеров или
серверов" ("criminally braindead ISPs or servers") в справке по конфигурации
ядра.
CONFIG_IP_NF_COMPAT_IPCHAINS - Добавляет совместимость с более старой
технологией ipchains. Вполне возможно, что подобного рода совместимость
будет сохранена и в ядрах серии 2.6.x.
CONFIG_IP_NF_COMPAT_IPFWADM - Добавляет совместимость с ipfwadm, не
смотря на то что это очень старое средство построения брандмауэров.
Как вы можете видеть, я дал краткую характеристику каждому модулю.
Данные опции доступны в ядре версии 2.4.9. Если вам потребуются
| © 2024 Библиотека RealLib.org (support [a t] reallib.org) |