LINUX iptable應用手冊(六)

領測軟件測試網  第六篇



實際的日志訊息會被記錄在哪個檔案，取決于當時系統的syslog.conf組態是如何設定的。對于iptables的訊息而言，右于它是位于Linux核心的機制，所以．如果你使用 - -log-level info選項，你應該尋找kern.=info path 。如果需要更進階的日志記錄能力，請參考《ULOG目標》。


mac過濾條件

此擴充模塊讓iptables可以使用Ethernet界面的「Media Access Controller」（MAC）位址為過濾條件�！侗�44》說明此過濾條件唯一的選項。

嚴格來說，MAC位址不算IP協議的過濾條件，因為在OSI layer架構中，Ethernet的位階低于IP；然而，由于許多IP網絡路架設在Ethernet 上，也就是說，大多數系統可以取得MAC信息，也因此mac成為重要的的擴充模組之一。

=============================
訣竅

本過濾條件必須在核心支持CONFIG_IP_NF_MATCH_MAC組態時才有效。

==============================







由於mac擴充模組只能過濾傳訊方的MAC位址(過濾dest MAC是沒有意義的)，所以此過濾條件只能用于PREROUTING、FORWARD或INPUT鏈結裡的規則，而且只對來自Ethernet裝置的封包才有效。舉例來說，下列規則限制ethl介面只能夠與特定Ethernet裝置通訊：

iptables -A PREROUTING -i ethl -m mac - -mac-source
! 0d：bc：97：02：18：2l -j DROP


上述規則很適合用於無線網路環境裡.



mark過濾條件

過濾含有特定標記值的封包。封包標記功能，通常搭配ip命令(iproute2套件的工具程式之一)使用，用以執行進階的選徑應用�！侗�45》說明此過濾條件唯一的選項。

Linux 核心容許你貼一個「標記」(一個整數值)到某個封包，然后將該封包(連同標記)傳給核心的另一個部門接手處理。請注意，「標記」並非儲存於封包本身(也就是說，被貼標記的封包，其header與body都不會被改變)，而是核心另外維護的一段中介資料(metadata)，所以，當封包離開貼它們帖標記的電腦(當封包被轉交給其它電腦時，就會發生這種現象)，標記信息就會跟著消失。


===========================
訣竅

本過濾條件必須在核心支援CONFIG_IP_NF_MATCH_MARK組態時才有效。
===========================





mask可用來讓你將核心的標記值當成一組位元欄來處理．不過，MARK目標擴充模組並不支援mask的使用，所以你不能利用iptables來漸進地設定位元欄。


相關參考：

MARK目標

設定包的標記。包的標記功能，通常搭配ip命令(iproute2套件的工具程式之一)使用，用以執行進階的選徑應用�！侗�46》說明MARK目標唯一的選項。


=============================
訣竅
本目標必須在核心支援CONFIG_IP_NF_TARGET_MARK組態時才有效。

MARK目標只能用於mangle表格。
=============================





相關參考：

● (mark過濾條件)

● 如果你希望標記資訊能跨越不同電腦，請參閱《TOS目標》。


MASQUERADE目標

具有連線追蹤能力的SNAT操作，特別適用於具有動態IP位址的介面�！侗�47》是本目標唯一的選項。

MASQUERADE擴充模組只能處理TCP與UDP連線。


============================
訣竅
本目標必須在核心支援CONFIG_IP_NF_TARGET_MASQUERADE組態時才有效。
============================


相關參考：

(SNAT目標) ：提供相似的SNAT功能性，但是不理會封包之間的關系(連線追蹤)，適用於具有固定IP位址的連線。


Mumport過濾條件

讓iptables可同時以多個TCP或UPD通訊端口為過濾條件。
《表48》說明本過濾條件的選項。

只能搭配TCP和UDP恊定使用(-p tcp或-p udp)。


============================
訣竅
本過濾條件必須在核心支援CONFIG_IP_NF_MATCH_MULTIPORT組態時才有效。
============================





portspec可以是通訊端口的正式名稱(定義於/etc/services檔案)或編號，或是一連串以逗號分隔通訊端口編號(最多15個)，或是p1 : p2格式的編號范圍。


NETLINK目標

透過netlink socket將包傳送到userspacc。利用NETLINK，你可將符合條件的封包傳給userspace的包處理程式，或是交給 fwmon之類外部的應用程式(參閱
http://www.scaramanga.co.uk/fwmon/)�！侗�49》說明本目標的選項。


==========================
竅門
過濾選條件必須在核心支援CONFIG_IP_NF_QUEUE組態時才有效。
==========================






舉例來說，若要將所有ICMP ping封包全部注入netlink然后才丟棄，使用下列命令：

iptables -A INPUT -p icmp - -icmp type ping -j NETLINK -nldrop



相關參考：

● (ULOG目標) ：透過netlink sockets與userspace的ulogd記錄程式通訊。

● netlink manpages(使用man 7 netlink或marl 3 netlink命令查看)。

● RFC 3549 《Linux Netlink as an IP Services Protoco1》
(位於http://www.rfc-editor.org/rfc/rfc3549.txt)。


NETMAP目標

IPv4 位址的長度是32 bits．其中有一部份是「網路編號」另一部份是「主機編號」兩者之間的分界取決於「遮罩」(mask)。NETMAP的作用是裁掉網路編號，將它換成另一個不同的編號；在效果上，這相當於將某網路的主機「映射」(mapping)到另一個網路。將NETMAP目標設置於PREROUTING鏈結，它會修改外來包的目的地位址；若是放在POSTROUTING鏈結，則是修改出境包的來源位址�！侗�50》說明NTEMAP目標唯一的選項。


=============================
訣竅
奉篩選條件必須在核心支援CONFIG_IP NF_TARGET_NETMAP組態時才有效。
=============================





舉例來說，若要在192.168.1.0/24與172.17.5.0/24兩個網絡之間做對應，使用下列兩個命令：

iptables -t nat -A PREROUTING -d 192.168.1.0/24
-j NETMAP - -to 172.17.5.0/24

iptables -t nat -A POSTROUTING -s 172.17.5.0/24
-j NETMAP - -to 192.168.1.0/24


nth過濾條件

用于將符合先前條件的包分成每 n個一組�！侗�51》說明本過濾條件的選項。





舉例來說，若要將外來包(假設來自eth0)平均分散到三部服務器：

iptables -t nat -A PREROUTING -i eth0 -p udp -dpor $PORT
-m nth - -every 3 - -packet 0 -j DNAT - -to-destination $SERVER0

iptables -t nat -A PREROUTING -i eth0 -p udp -dport $PORT
-m nth - -every 3 - -packet 1 -j DNAT - -to-destination $SERVER1

iptables -t nat -A PREROUTING -i eth0 -p udp -dport $PORT
-m nth - -every 3 - -packet 2 -j DNAT - -to-destination $SERVER2


你甚至可使用nth過濾條件搭配DROP目標來仿真封包漏失現象。

關于更好的負載均攤方法，讀參閱(DNAT目標)。


owner過濾條件

以產生封包的行程(擁有者)之信息為過濾條件。本過濾條件只能用于OUTPUT鏈結，因為它需要能夠取得關于產生封包的本地行程之信息。 請注意，owner過濾條件對于ICMP封包無
效，因為ICMP封包沒有擁用者�！侗�52》說明本過濾條件的選項。

============================
訣竅
本過濾條件必須在核心支持CONFIG_IP_NF_MATCH_OWNER組態時才有效。

============================

延伸閱讀

文章來源于領測軟件測試網 http://www.kjueaiud.com/