• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

LINUX iptable应用手册(四)

发布: 2007-5-26 11:30 | 作者: 佚名 | 来源: 南方Linux | 查看: 47次 | 进入软件测试论坛讨论

领测软件测试网  第四篇





任何有效的dscp筛选条件,都至少要含有上述选项的其中之一,《表23》是各种DSCP分级的说明,《表24》是DSCP值与分级名称的对应关系。








相关参考:

● 《DSCP目标》

● RFC 2474《Definition of the Differentiated Services Field(DS Field)in the Ipv4 and Ipv6 Headers》(位于http://www.rfc-editor.org/rfc/rfc2474.txt)。

● RFC 2475《An Architecture for Differentiated Service》(位于http://www.rfc-editor.org/rfc/rfc2475.txt)。


DSCP目标

设定IPv4包标头里的DSCP栏位值。DSCP栏位是IPv4 header的TOS位元组的重新演绎。《表25》是DSCP目标的选项。


============================
诀窍

本目标必须在核心支援CONFIG_IP_NF_TARGET_DSCP组态时才有效。

============================






任何有效的DSCP目标,都至少要含有上述选项的其中之一。举例来说,若要将所有出境包的DSCP栏位设定为0x0e:
iptables -t mangle -A OUTPUT -j DSCP - -set-dscp 0x0e

相关参考:

● 《dscp过滤条件》

● RFC 2475《An Architecture for Differentiated Service》(位于http://www.rfc-editor.org/rfc/rfc2475.txt)。



ecn过滤条件

以IPv4 header中的Explicit Congestion Notification(ECN)栏位为过滤条件。《表26》说明本过滤条件的选项。


===========================
诀窍

本目标必须在核心支援CONFIG_IP_NF_MATCH_ECN组态时才有效。

===========================






相关参考:

● 《ECN目标》。

● RFC 2481《A Proposal to add Explicit Congestion Notification(ECN)to IP》(位于http://www.rfc-editor.org/rfc/rfc2481.txt)。

● RFC 3168《The Addition of Explicit Congestion Notification(ECN)to IP》(位于http://www.rfc-editor.org/rfc/rfc3168.txt)。


============================
诀窍

本目标必须在核心支援CONFIG_IP_NF_TARGET_ECN组态时才有效。

============================







相关参考:

● 《ecn过滤条件》。

● RFC 2481《A Proposal to add Explicit Congestion Notification(ECN)to IP》(位于http://www.rfc-editor.org/rfc/rfc2481.txt)。

● RFC 3168《The Addition of Explicit Congestion Notification(ECN)to IP》(位于http://www.rfc-editor.org/rfc/rfc3168.txt)。

Esp过滤条件
本扩充模组使iptables可以用IPSec协定的Encapsulating Security Payload (ESP)header的Security Parameters Index (SPI)栏位为过滤条件。目的地位址与SPI栏位共同构成包的SA。使用esp过滤条件之前,必须先以 -p载入相关协定(esp或ipv6-crypt)的扩充模组。《表28》说明本过滤条件的唯一选项。


=========================
诀窍

本过滤条件必须在核心支援CONFIG_IP_NF_MATCH_AH_ESP组态时才有效。

=========================






范例:

iptable -A INPUT -p esp -m esp - -espspi 500 -j DROP

关于IPv6协定,请参阅《IPv6 Essentials》 (Silvia Hagen著,O Reilly 出版)相关参考:《ah过滤条件》。



FTOS目标

此目标的作用,是将包的整个Type of Service (ToS)栏位设定为特定值。它不理会ToS栏位的特殊演绎,象是级别服务(Differentiated Services),也不理会ToS各个子栏位的意义。FTOS目标只有一个选项,见《表29》。





举例来说,下列命令将出境包设定为「普通服务」(0x00,对应名称为Normal-Service):
iptables -t mangle -A OUTPUT -j FTOS - -set-ftos 0


相关参考:

● 《tos过滤条件》

●如果只想影响ToS栏位的子栏位,请参阅《TOS目标》。



helper扩充模组

加载特定协议的联机追踪辅助模组,由该模组过滤所追踪的连线类型之封包。《表30》说明本模组唯一支持的选项。


诀窍

本模组必须在核心支持CONFIG_IP_NF_MATCH_HELPER组态时才有效。






举例来说,若希望IRC通讯(Internet Relay Chat)能通过防火墙,应该使用下列命令戴入irc辅助模组:
iptable -A INPUT -m -helper - -helper irc -j ACCEPT



icmp过滤条件

本扩充摸组使iptables能够以「网际控制讯息协定」(ICMP)特有的资讯为过滤条件。使使用icmp过滤条件之前,必须先用 -p icmp戴入本模组。《图4》是ICMP header的各个栏位。《表31》说明icmp过滤条件的选项。










《表 32》正式ICMP协定型别与代码,最新的正式资料在:http://www.iana.org/assignments/icmp- parameters(参考RFC3232《Assigned Numbers:RFC 1700 is Replaced by an On-line Database》,位于http://www.rfc-editor.org/rfc/rfc3232.txt)。请留心《表32》的「名称」栏,以中文或粗体字型表示的项目,表示你只能以「代码」来表示该项目,而不是名称。








注译:
package :“封包”或称呼为“包”
filter : 筛选或 过滤

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网