Nastny Poprzedni Spis Trei

4. Now cele netfilter

W tej sekcji posaram siê wyjaśniæ sposób użycia nowych celów dla netfiler. Łaty przedstawione zostaną w kolejności alfabetycznej. Nie poruszymy łat, które powodują uszkadzanie innych łat, choæ byæ może kiedyś tak siê stanie.

Ogólnie rzecz biorąc, możesz uzyskaæ pomoc dla celów wpisując:

# iptables -m cel_o_który_ci_chodzi --help

Wyświetli to normalną pomoc iptables, oraz dodatkowe informacje dotyczące `celu_o_który_ci_chodzi' na koñcu.

4.1 Łata ftos

Łata autorstwa Matthew G. Marsh <mgm@paktronix.com> dodaje nowy cel, umożliwiający ustawianie wartości TOS pakietu na określoną wartośæ.

Na przykład, jeśli chcesz ustawiaæ wartośæ TOS wszystkich wychodzących pakietów na wartośæ 15, napisz:

# iptables -t mangle -A OUTPUT -j FTOS --set-ftos 15

# iptables -t mangle --list
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
FTOS       all  --  anywhere             anywhere           TOS set 0x0f 

Opcje dostêpne dla celu `FTOS' to:

4.2 Łata IPV4OPTSSTRIP

Łata autorstwa Fabrice MARIE <fabrice@celestix.com> dodaje nowy cel, umożliwiający obranie pakietu IPv4 z jego opcji.

Używa siê jej po prostu tak:

# iptables -t mangle -A PREROUTING -j IPV4OPTSSTRIP

# iptables -t mangle --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
IPV4OPTSSTRIP  all  --  anywhere             anywhere

Ten cel nie udostêpnia żadnych opcji.

4.3 Łata NETLINK

Łata autorstwa Gianni Tedesco <gianni@ecsc.co.uk> dodaje nowy cel, który umożliwia wysyłanie odrzucanych pakietów do przestrzeni użytkownika przez gniazdo netlink.

Na przykład, by odrzucając wszystkie pingi wysyłaæ je jednocześnie do wspomnianego gniazda, napisz:

# iptables -A INPUT -p icmp --icmp-type echo-request -j NETLINK --nldrop

# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
NETLINK    icmp --  anywhere             anywhere           icmp echo-request nldrop 

Opcje dostêpne dla celu `NETLINK' to:

Po wiêcej informacji dotyczących gniazd netlink, odsyłam pod adres http://www.skyfree.org/linux/kernel_network/netlink.html.

4.4 Łata NETMAP

Łata autorstwa Svenning Soerensen <svenning@post5.tele.dk> dodaje nowy cel, pozwalający na mapowanie adresów sieci 1:1, przy zachowaniu adresu hosta.

Na przykład, jeśli chciałbyś zmieniæ adres docelowy połączeñ przychodzących z 1.2.3.0/24 na 5.6.7.0/24, napisz:

# iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24

# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
NETMAP     all  --  anywhere             1.2.3.0/24         5.6.7.0/24

Opcje dostêpne dla celu `NETMAP' to:

4.5 Łata SAME

Łata autorstwa Martina Josefssona <gandalf@wlug.westbo.se> dodaje nowy cel, podobny do SNAT, dający danemu klientowi ten sam adres dla każdego połączenia.

Na przykład, jeśli chcesz modyfikowaæ adres źródłowy połączeñ na 1.2.3.4-1.2.3.7 możesz napisaæ:

# iptables -t nat -A POSTROUTING -j SAME --to 1.2.3.4-1.2.3.7

# iptables -t nat --list
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SAME       all  --  anywhere             anywhere           same:1.2.3.4-1.2.3.7 

Opcje dostêpne dla celu `SAME' to:

4.6 Łata tcp-MSS

Łata autorstwa Marca Bouchera <marc+nf@mbsi.ca> dodaje nowy cel, który pozwala badaæ i zmieniaæ wartośæ MSS pakietów TCP SYN, co pozwala na kontrolowanie maksymalnej wartości dla danego połączenia.

Tak jak tłumaczy sam Marc, TO JEST HACK, używany w przypadku napotkania zbrodniczo debilnych dostawców internetowych, lub serwerów, które blokują pakiety ICMP Fragmentation Needed.

Typowe użycie wygląda tak:

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# iptables --list
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

Opcje dostêpne dla celu `tcp-MSS' to (można podawaæ tylko pojedyñczo):

4.7 Łata TTL

Łata autorstwa Haralda Welte <laforge@gnumonks.org>, dodaje nowy cel umożliwiający użytkownikowi ustawienie wartości TTL dla pakietu IP, lub zwiêkszanie/zmniejszanie jej o określoną wartośæ.

Na przykład, jeśli chcesz ustawiæ TTL wszystkich wychodzących połączeñ na wartośæ 126, napisz:

# iptables -t mangle -A OUTPUT -j TTL --ttl-set 126

# iptables -t mangle --list
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
TTL        all  --  anywhere             anywhere           TTL set to 126 

Opcje dostêpne dla celu `TTL' to:

4.8 Łata ulog

Łata autorstwa Haralda Welte <laforge@gnumonks.org>, dodaje nowy cel, udostêpniający trochê bardziej zaawansowany mechanizm logowania niż standardowy cel `LOG'. Katalog `libipulog/' zawiera bibliotekê obsługującą odbieranie wiadomości `ULOG'.

Harald utrzymuje stronê http://www.gnumonks.org/projects/ulogd zawierającą odpowiednią dokumentacjê dla celu, wiêc nie ma sensu cytowaæ tego tutaj.


Nastny Poprzedni Spis Trei