Nastny Poprzedni Spis Trei

6. Nowe testy dla IPv6

W tej sekcji postaram siê omówiæ użycie nowych testów. Łaty wymieniane bêdą w kolejności alfabetycznej. Nie poruszymy łat, które powodują uszkadzanie innych łat, choæ byæ może kiedyś tak siê stanie.

Ogólnie rzecz biorąc, możesz uzyskaæ pomoc dla testów wpisując:

# iptables -m test_o_który_ci_chodzi --help

Wyświetli to normalną pomoc iptables, oraz dodatkowe informacje dotyczące `testu_o_który_ci_chodzi' na koñcu.

6.1 Łata agr

Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje jeden nowy test:

Może ona byæ pomocna dla ludzi używających schematu adresowania EUI-64, którzy chcieliby sprawdziæ pakiety pod kątem dostarczonego adresu w LANie.

Na przykład, przekierujemy wszystkie pakiety posiadające prawidłowe adresy EUI-64:

# ip6tables -N ipv6ok
# ip6tables -A INPUT -m agr -j ipv6ok
# ip6tables -A INPUT -s ! 3FFE:2F00:A0::/64 -j ipv6ok
# ip6tables -A INPUT -j LOG
# ip6tables -A ipv6ok -j ACCEPT

# ip6tables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ipv6ok     all      anywhere             anywhere           AGR 
ipv6ok     all     !3ffe:2f00:a0::/64    anywhere           
LOG        all      anywhere             anywhere           LOG level warning 

Chain ipv6ok (2 references)
target     prot opt source               destination         
ACCEPT     all      anywhere             anywhere           

Test nie ma żadnych opcji.

6.2 Łata ipv6header

Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje nowy test, pozwalający sprawdzaæ pakiety na podstawie ich rozszerzonych nagłówków.

Na przykład, odrzucajmy pakiety z dodanymi hop-by-hop, nagłówkami ipv6-route i zawartością protokołu:

# ip6tables -A INPUT -m ipv6header --header hop-by-hop,ipv6-route,protocol -j DROP

# ip6tables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all      anywhere             anywhere           ipv6header flags:hop-by-hop,ipv6-route,protocol

A teraz, odrzuæmy pakiety które mają rozszerzony nagłówek ipv6-route:

# ip6tables -A INPUT -m ipv6header --header ipv6-route --soft -j DROP

# ip6ptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all      anywhere             anywhere           ipv6header flags:ipv6-route soft

Dostêpne opcje dla celu to:

6.3 Łata ipv6-ports

Łata Jana Rekorajskiego <baggins@pld.org.pl> dodaje cztery nowe testy:

Są to wersje łat dla protokołu IPv4, sprawdź wyżej szczegóły.

6.4 Łata length

Łata autorstwa Imrana Patela <ipatel@crosswinds.net> dodaje nowy test umożliwiający dopasowywanie pakietu na podstawie jego długości. (bezwstydna adaptacja łaty dla IPv4 autorstwa Jamesa Morrisa <jmorris@intercode.com.au>)

Na przykład, odrzuæmy wszystkie pingi z długością pakietu wiêkszą niż 85 bajtów:

# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type echo-request -m length --length 85:0xffff -j DROP

# ip6ptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       ipv6-icmp --  anywhere             anywhere           ipv6-icmp echo-request length 85:65535

Opcje dostêpne dla testu to:

Wartości, których nie podano są dodawane automatycznie. Minimalna wartośæ to 0, maksymalna 65535.


Nastny Poprzedni Spis Trei