LINUX iptable应用手册(六)

第六篇本质的日记消息会被记载在哪个档案，在于于其时体例的syslog.conf组态是怎样设定的。对于iptables的消息而言，右于它是坐落linux中心的体制，以是．即使你运用 - -log-level info选项，你该当探求kern.=info path 。即使须要更进阶的日记记载本领，请参考《ulog目的》。mac过滤前提此夸大模块让iptables不妨运用ethernet界面包车型的士「media access controller」（mac）位址为过滤前提。《表44》证明此过滤前提独一的选项。庄重来说，mac位址不算ip和议的过滤前提，由于在osi layer框架结构中，ethernet的位阶低于ip；但是，因为很多ip搜集路架设在ethernet 上，也即是说，大普遍体例不妨博得mac消息，也所以mac变成要害的的夸大模组之一。=============================窍门本过滤前提必需在中心扶助config_ip_nf_match_mac组态时才灵验。==============================由於mac夸大模组只能过滤传讯方的mac位址(过滤dest mac是沒有意旨的)，以是此过滤前提只能用来prerouting、forward或input链结裡的准则，并且只对来自ethernet安装的封包才灵验。举例来說，下列准则控制ethl介面只能夠与一定ethernet安装通信：iptables -a prerouting -i ethl -m mac - -mac-source! 0d：bc：97：02：18：2l -j drop上述准则很符合用於无線网路情况裡.mark过滤前提过滤含有一定标志值的封包。封包标志功效，常常搭配ip吩咐(iproute2套件的东西程式之一)运用，用以执前进阶的选径运用。《表45》說明此过滤前提独一的选项。linux中心承诺你贴一个「标志」(一个平头值)到某个封包，而后将该封包(偕同标志)传给中心的另一个部分接办处置。请提防，「标志」並非积聚於封包自己(也即是說，被贴标志的封包，其header与body都不会被变换)，而是中心其余保护的一段中介人材料(metadata)，以是，当封包摆脱贴它们帖标志的电脑(当封包被转送给其它电脑时，就会爆发这种局面)，标志消息就会跟著消逝。===========================窍门本过滤前提必需在中心救济config_ip_nf_match_mark组态时才灵验。===========================mask可用来让你将中心的标志值当成一组位元栏来处置．然而，mark目的夸大模组並不救济mask的运用，以是你不许运用iptables来循序渐进地设定位元栏。关系参考： mark目的设定包的标志。包的标志功效，常常搭配ip吩咐(iproute2套件的东西程式之一)运用，用以执前进阶的选径运用。《表46》說明mark目的独一的选项。=============================窍门本目的必需在中心救济config_ip_nf_target_mark组态时才灵验。mark目的只能用於mangle表格。=============================关系参考：● (mark过滤前提)● 即使你蓄意标志资源讯息能超过各别电脑，请参閱《tos目的》。masquerade目的具备连線追蹤本领的snat操纵，特別实用於具备动静ip位址的介面。《表47》是本目的独一的选项。masquerade夸大模组只能处置tcp与udp连線。============================窍门本目的必需在中心救济config_ip_nf_target_masquerade组态时才灵验。============================关系参考：(snat目的) ：供给一致的snat功效性，然而不领会封包之间的联系(连線追蹤)，实用於具备恒定ip位址的连線。mumport过滤前提让iptables可同声以多个tcp或upd通信端口为过滤前提。《表48》說明本过滤前提的选项。只能搭配tcp和udp恊定运用(-p tcp或-p udp)。============================窍门本过滤前提必需在中心救济config_ip_nf_match_multiport组态时才灵验。============================portspec不妨是通信端口的正式称呼(设置於/etc/services档案)或编号，或是延续串以逗点分割通信端口编号(最多15个)，或是p1 : p2方法的编号范畴。netlink目的透过netlink socket将包传递到userspacc。运用netlink，你可将适合前提的封包传给userspace的包处置程式，或是交给 fwmon之类外部的运用程式(参閱http://www.scaramanga.co.uk/fwmon/)。《表49》說明本目的的选项。==========================诀窍过滤选前提必需在中心救济config_ip_nf_queue组态时才灵验。==========================举例来說，若要将一切icmp ping封包十足注入netlink而后才丟棄，运用下列吩咐：iptables -a input -p icmp - -icmp type ping -j netlink -nldrop关系参考：● (ulog目的) ：透过netlink sockets与userspace的ulogd记錄程式通信。● netlink manpages(运用man 7 netlink或marl 3 netlink吩咐察看)。● rfc 3549 《linux netlink as an ip services protoco1》(位於http://www.rfc-editor.org/rfc/rfc3549.txt)。netmap目的ipv4位址的长度是32 bits．个中有一部份是「网路编号」另一部份是「长机编号」两者之间的分界取決於「遮罩」(mask)。netmap的效率是裁掉网路编号，将它換成另一个各别的编号；在功效上，这十分於将某网路的长机「映照」(mapping)到另一个网路。将netmap目的树立於prerouting链结，它会窜改外路包的手段位置址；假如放在postrouting链结，则是窜改离境包的根源位址。《表50》說明ntemap目的独一的选项。============================= 窍门奉挑选前提必需在中心救济config_ip nf_target_netmap组态时才灵验。=============================举例来說，若要在192.168.1.0/24与172.17.5.0/24两个搜集之间做对应，运用下列两个吩咐：iptables -t nat -a prerouting -d 192.168.1.0/24 -j netmap - -to 172.17.5.0/24iptables -t nat -a postrouting -s 172.17.5.0/24-j netmap - -to 192.168.1.0/24nth过滤前提用来将适合先前前提的包分红每 n个一组。《表51》证明本过滤前提的选项。举例来说，若要将外路包(假如来自eth0)平等分散到三部效劳器：iptables -t nat -a prerouting -i eth0 -p udp -dpor $port-m nth - -every 3 - -packet 0 -j dnat - -to-destination $server0iptables -t nat -a prerouting -i eth0 -p udp -dport $port-m nth - -every 3 - -packet 1 -j dnat - -to-destination $server1iptables -t nat -a prerouting -i eth0 -p udp -dport $port-m nth - -every 3 - -packet 2 -j dnat - -to-destination $server2你以至可运用nth过滤前提搭配drop目的来仿真封包漏失局面。对于更好的负载均派本领，读参见(dnat目的)。owner过滤前提以爆发封包的路途(具有者)之消息为过滤前提。本过滤前提只能用来output链结，由于它须要不妨博得对于爆发封包的当地路途之消息。 请提防，owner过滤前提对于icmp封包失效，由于icmp封包没有拥用者。《表52》证明本过滤前提的选项。============================窍门本过滤前提必需在中心扶助config_ip_nf_match_owner组态时才灵验。============================