LINUX iptable应用手册(四)

第四篇任何灵验的dscp挑选前提，都起码要含有上述选项的个中之一，《表23》是百般dscp分级的证明，《表24》是dscp值与分级称呼的对应联系。关系参考：● 《dscp目的》● rfc 2474《definition of the differentiated services field（ds field）in the ipv4 and ipv6 headers》（坐落http://www.rfc-editor.org/rfc/rfc2474.txt）。● rfc 2475《an architecture for differentiated service》（坐落http://www.rfc-editor.org/rfc/rfc2475.txt）。dscp目的设定ipv4包标头前的dscp栏位值。dscp栏位是ipv4 header的tos位元组的从新演绎。《表25》是dscp目的的选项。============================窍门本目的必需在中心救济config_ip_nf_target_dscp组态时才灵验。============================任何灵验的dscp目的，都起码要含有上述选项的个中之一。举例来说，若要将一切离境包的dscp栏位设定于0x0e：iptables -t mangle -a output -j dscp - -set-dscp 0x0e关系参考：● 《dscp过滤前提》● rfc 2475《an architecture for differentiated service》（坐落http://www.rfc-editor.org/rfc/rfc2475.txt）。ecn过滤前提以ipv4 header中的explicit congestion notification（ecn）栏位为过滤前提。《表26》证明本过滤前提的选项。===========================窍门本目的必需在中心救济config_ip_nf_match_ecn组态时才灵验。===========================关系参考：● 《ecn目的》。● rfc 2481《a proposal to add explicit congestion notification（ecn）to ip》（坐落http://www.rfc-editor.org/rfc/rfc2481.txt）。 ● rfc 3168《the addition of explicit congestion notification（ecn）to ip》（坐落http://www.rfc-editor.org/rfc/rfc3168.txt）。============================窍门本目的必需在中心救济config_ip_nf_target_ecn组态时才灵验。============================关系参考：● 《ecn过滤前提》。● rfc 2481《a proposal to add explicit congestion notification（ecn）to ip》（坐落http://www.rfc-editor.org/rfc/rfc2481.txt）。 ● rfc 3168《the addition of explicit congestion notification（ecn）to ip》（坐落http://www.rfc-editor.org/rfc/rfc3168.txt）。esp过滤前提本夸大模组使iptables不妨用ipsec协议的encapsulating security payload (esp）header的security parameters index （spi）栏位为过滤前提。手段位置址与spi栏位共通形成包的sa。运用esp过滤前提之前，必需先以 -p载入关系协议（esp或ipv6-crypt）的夸大模组。《表28》证明本过滤前提的独一选项。=========================窍门本过滤前提必需在中心救济config_ip_nf_match_ah_esp组态时才灵验。=========================典型：iptable -a input -p esp -m esp - -espspi 500 -j drop对于ipv6协议，请参见《ipv6 essentials》 （silvia hagen著，o reilly 出书）关系参考：《ah过滤前提》。ftos目的此目的的效率，是将包的所有type of service （tos）栏位设定于一定值。它不领会tos栏位的特出演绎，象是级别效劳（differentiated services），也不领会tos各个子栏位的意旨。ftos目的惟有一个选项，见《表29》。举例来说，下列吩咐将离境包设定于「普遍效劳」（0x00，对应称呼为normal-service）：iptables -t mangle -a output -j ftos - -set-ftos 0关系参考：● 《tos过滤前提》●即使只想感化tos栏位的子栏位，请参见《tos目的》。helper夸大模组加载一定和议的联机蹑踪扶助模组，由该模组过滤所蹑踪的连线典型之封包。《表30》证明本模组独一扶助的选项。窍门本模组必需在中心扶助config_ip_nf_match_helper组态时才灵验。举例来说，若蓄意irc通信(internet relay chat）能经过风火墙，该当运用下列吩咐戴入irc扶助模组：iptable -a input -m -helper - -helper irc -j accepticmp过滤前提本夸大摸组使iptables不妨以「网际遏制消息协议」（icmp）私有的资源讯息为过滤前提。使运用icmp过滤前提之前，必需先用 -p icmp戴入本模组。《图4》是icmp header的各个栏位。《表31》证明icmp过滤前提的选项。《表32》正式icmp协议型别与代码，最新的正式材料在：http://www.iana.org/assignments/icmp-parameters(参考rfc3232《assigned numbers：rfc 1700 is replaced by an on-line database》，坐落http://www.rfc-editor.org/rfc/rfc3232.txt）。请提防《表32》的「称呼」栏，以华文或粗体字型表白的名目，表白你只能以「代码」来表白该名目，而不是称呼。注译：package ：“封包”或称谓为“包”filter ： 挑选或 过滤