分类: LINUX
2008-05-08 10:25:16
|
第四篇 任何有效的dscp筛选条件,都至少要含有上述选项的其中之一,《表23》是各种DSCP分级的说明,《表24》是DSCP值与分级名称的对应关系。 相关参考: ● 《DSCP目标》 ● RFC 2474《Definition of the Differentiated Services Field(DS Field)in the Ipv4 and Ipv6 Headers》(位于)。 ● RFC 2475《An Architecture for Differentiated Service》(位于)。 DSCP目标 设定IPv4包标头里的DSCP栏位值。DSCP栏位是IPv4 header的TOS位元组的重新演绎。《表25》是DSCP目标的选项。 ============================ 诀窍 本目标必须在核心支援CONFIG_IP_NF_TARGET_DSCP组态时才有效。 ============================ 任何有效的DSCP目标,都至少要含有上述选项的其中之一。举例来说,若要将所有出境包的DSCP栏位设定为0x0e: iptables -t mangle -A OUTPUT -j DSCP - -set-dscp 0x0e 相关参考: ● 《dscp过滤条件》 ● RFC 2475《An Architecture for Differentiated Service》(位于)。 ecn过滤条件 以IPv4 header中的Explicit Congestion Notification(ECN)栏位为过滤条件。《表26》说明本过滤条件的选项。 =========================== 诀窍 本目标必须在核心支援CONFIG_IP_NF_MATCH_ECN组态时才有效。 =========================== 相关参考: ● 《ECN目标》。 ● RFC 2481《A Proposal to add Explicit Congestion Notification(ECN)to IP》(位于)。 ● RFC 3168《The Addition of Explicit Congestion Notification(ECN)to IP》(位于)。 ============================ 诀窍 本目标必须在核心支援CONFIG_IP_NF_TARGET_ECN组态时才有效。 ============================ 相关参考: ● 《ecn过滤条件》。 ● RFC 2481《A Proposal to add Explicit Congestion Notification(ECN)to IP》(位于)。 ● RFC 3168《The Addition of Explicit Congestion Notification(ECN)to IP》(位于)。 Esp过滤条件 本扩充模组使iptables可以用IPSec协定的Encapsulating Security Payload (ESP)header的Security Parameters Index (SPI)栏位为过滤条件。目的地位址与SPI栏位共同构成包的SA。使用esp过滤条件之前,必须先以 -p载入相关协定(esp或ipv6-crypt)的扩充模组。《表28》说明本过滤条件的唯一选项。 ========================= 诀窍 本过滤条件必须在核心支援CONFIG_IP_NF_MATCH_AH_ESP组态时才有效。 ========================= 范例: iptable -A INPUT -p esp -m esp - -espspi 500 -j DROP 关于IPv6协定,请参阅《IPv6 Essentials》 (Silvia Hagen著,O Reilly 出版)相关参考:《ah过滤条件》。 FTOS目标 此目标的作用,是将包的整个Type of Service (ToS)栏位设定为特定值。它不理会ToS栏位的特殊演绎,象是级别服务(Differentiated Services),也不理会ToS各个子栏位的意义。FTOS目标只有一个选项,见《表29》。 举例来说,下列命令将出境包设定为「普通服务」(0x00,对应名称为Normal-Service): iptables -t mangle -A OUTPUT -j FTOS - -set-ftos 0 相关参考: ● 《tos过滤条件》 ●如果只想影响ToS栏位的子栏位,请参阅《TOS目标》。 helper扩充模组 加载特定协议的联机追踪辅助模组,由该模组过滤所追踪的连线类型之封包。《表30》说明本模组唯一支持的选项。 诀窍 本模组必须在核心支持CONFIG_IP_NF_MATCH_HELPER组态时才有效。 举例来说,若希望IRC通讯(Internet Relay Chat)能通过防火墙,应该使用下列命令戴入irc辅助模组: iptable -A INPUT -m -helper - -helper irc -j ACCEPT icmp过滤条件 本扩充摸组使iptables能够以「网际控制讯息协定」(ICMP)特有的资讯为过滤条件。使使用icmp过滤条件之前,必须先用 -p icmp戴入本模组。《图4》是ICMP header的各个栏位。《表31》说明icmp过滤条件的选项。 《表32》正式ICMP协定型别与代码,最新的正式资料在:(参考RFC3232《Assigned Numbers:RFC 1700 is Replaced by an On-line Database》,位于)。请留心《表32》的「名称」栏,以中文或粗体字型表示的项目,表示你只能以「代码」来表示该项目,而不是名称。 注译: package :“封包”或称呼为“包” filter : 筛选或 过滤 To be continued........ 
|
| 出处:南方Linux |
