Nastny Poprzedni Spis Trei

6. Nowe testy dla IPv6

W tej sekcji postaram siê omówiæ użycie nowych testów. Łaty wymieniane bêdą w kolejności alfabetycznej. Nie poruszymy łat, które powodują uszkadzanie innych łat, choæ byæ może kiedyś tak siê stanie.

Ogólnie rzecz biorąc, możesz uzyskaæ pomoc dla testów wpisując:

# iptables -m test_o_który_ci_chodzi --help

Wyświetli to normalną pomoc iptables, oraz dodatkowe informacje dotyczące `testu_o_który_ci_chodzi' na koñcu.

6.1 Łata agr

Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje jeden nowy test:

Może ona byæ pomocna dla ludzi używających schematu adresowania EUI-64, którzy chcieliby sprawdziæ pakiety pod kątem dostarczonego adresu w LANie.

Na przykład, przekierujemy wszystkie pakiety posiadające prawidłowe adresy EUI-64:

# ip6tables -N ipv6ok
# ip6tables -A INPUT -m agr -j ipv6ok
# ip6tables -A INPUT -s ! 3FFE:2F00:A0::/64 -j ipv6ok
# ip6tables -A INPUT -j LOG
# ip6tables -A ipv6ok -j ACCEPT

# ip6tables --list
Chain INPUT (policy ACCEPT)
target   prot opt source        destination     
ipv6ok   all   anywhere       anywhere      AGR 
ipv6ok   all   !3ffe:2f00:a0::/64  anywhere      
LOG    all   anywhere       anywhere      LOG level warning 

Chain ipv6ok (2 references)
target   prot opt source        destination     
ACCEPT   all   anywhere       anywhere      

Test nie ma żadnych opcji.

6.2 Łata ipv6header

Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje nowy test, pozwalający sprawdzaæ pakiety na podstawie ich rozszerzonych nagłówków.

Na przykład, odrzucajmy pakiety z dodanymi hop-by-hop, nagłówkami ipv6-route i zawartością protokołu:

# ip6tables -A INPUT -m ipv6header --header hop-by-hop,ipv6-route,protocol -j DROP

# ip6tables --list
Chain INPUT (policy ACCEPT)
target   prot opt source        destination     
DROP    all   anywhere       anywhere      ipv6header flags:hop-by-hop,ipv6-route,protocol

A teraz, odrzuæmy pakiety które mają rozszerzony nagłówek ipv6-route:

# ip6tables -A INPUT -m ipv6header --header ipv6-route --soft -j DROP

# ip6ptables --list
Chain INPUT (policy ACCEPT)
target   prot opt source        destination     
DROP    all   anywhere       anywhere      ipv6header flags:ipv6-route soft

Dostêpne opcje dla celu to:

6.3 Łata ipv6-ports

Łata Jana Rekorajskiego <baggins@pld.org.pl> dodaje cztery nowe testy:

Są to wersje łat dla protokołu IPv4, sprawdź wyżej szczegóły.

6.4 Łata length

Łata autorstwa Imrana Patela <ipatel@crosswinds.net> dodaje nowy test umożliwiający dopasowywanie pakietu na podstawie jego długości. (bezwstydna adaptacja łaty dla IPv4 autorstwa Jamesa Morrisa <jmorris@intercode.com.au>)

Na przykład, odrzuæmy wszystkie pingi z długością pakietu wiêkszą niż 85 bajtów:

# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type echo-request -m length --length 85:0xffff -j DROP

# ip6ptables --list
Chain INPUT (policy ACCEPT)
target   prot opt source        destination     
DROP    ipv6-icmp -- anywhere       anywhere      ipv6-icmp echo-request length 85:65535

Opcje dostêpne dla testu to:

Wartości, których nie podano są dodawane automatycznie. Minimalna wartośæ to 0, maksymalna 65535.


Nastny Poprzedni Spis Trei