Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1492299
  • 博文数量: 263
  • 博客积分: 10851
  • 博客等级: 上将
  • 技术积分: 2627
  • 用 户 组: 普通用户
  • 注册时间: 2008-11-26 22:40
文章分类

全部博文(263)

文章存档

2013年(4)

2012年(25)

2011年(33)

2010年(50)

2009年(138)

2008年(13)

分类: LINUX

2009-04-08 01:09:30

# lsmod | grep  -i ttl
ipt_ttl                 5504  1
ipt_TTL                 5760  1
x_tables               15236  8 ipt_LOG,ipt_ttl,ipt_TTL,ip_tables,ip6t_REJECT,xt_tcpudp,xt_state,ip6_tables
 
可以发现iptables可能需要使用ipt_ttl和ipt_TTL两个内核模块, 其中:
一. ipt_ttl用于规则匹配, 即根据IP头里的TTL (Time To Live,即生存期)字段来匹配包,此必须由-m ttl装入。 如 iptables -t filter -A OUTPUT -m ttl --ttl 128 -j LOG  所有经过OUTPUT链的ttl值为128的包都被写进日志
 
二. ipt_TTL用于jump target: TTL可以修改IP头中Time To Live字段的值。它有很大的作用,我们可以把所有外出包的Time To Live值都改为一样的, 它只能在mangle表中使用。 如 iptables -t mangle -A POSTROUTING -o ppp0 -j TTL --ttl-set 128   把所有从ppp0出去的包的ttl值设成128
另外, 在网上看到使用 echo "129" > /proc/sys/net/ipv4/ip_default_ttl , 经过试验,这种方法不行, 不能把所有经过防火墙的包的ttl值都变成128, 这个只能把从防火墙本机出去的包的ttl值默认为129。
阅读(1759) | 评论(0) | 转发(0) |
0

上一篇:mysql报连接数过多

下一篇:什么是initrd

给主人留下些什么吧!~~