LINUX iptable應用手冊(四)

領測軟件測試網  第四篇





任何有效的dscp篩選條件，都至少要含有上述選項的其中之一，《表23》是各種DSCP分級的說明，《表24》是DSCP值與分級名稱的對應關系。








相關參考：

● 《DSCP目標》

● RFC 2474《Definition of the Differentiated Services Field（DS Field）in the Ipv4 and Ipv6 Headers》（位于http://www.rfc-editor.org/rfc/rfc2474.txt）。

● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。


DSCP目標

設定IPv4包標頭里的DSCP欄位值。DSCP欄位是IPv4 header的TOS位元組的重新演繹�！侗�25》是DSCP目標的選項。


============================
訣竅

本目標必須在核心支援CONFIG_IP_NF_TARGET_DSCP組態時才有效。

============================






任何有效的DSCP目標，都至少要含有上述選項的其中之一。舉例來說，若要將所有出境包的DSCP欄位設定為0x0e：
iptables -t mangle -A OUTPUT -j DSCP - -set-dscp 0x0e

相關參考：

● 《dscp過濾條件》

● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。



ecn過濾條件

以IPv4 header中的Explicit Congestion Notification（ECN）欄位為過濾條件�！侗�26》說明本過濾條件的選項。


===========================
訣竅

本目標必須在核心支援CONFIG_IP_NF_MATCH_ECN組態時才有效。

===========================






相關參考：

● 《ECN目標》。

● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。

● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。


============================
訣竅

本目標必須在核心支援CONFIG_IP_NF_TARGET_ECN組態時才有效。

============================







相關參考：

● 《ecn過濾條件》。

● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。

● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。

Esp過濾條件
本擴充模組使iptables可以用IPSec協定的Encapsulating Security Payload (ESP）header的Security Parameters Index （SPI）欄位為過濾條件。目的地位址與SPI欄位共同構成包的SA。使用esp過濾條件之前，必須先以 -p載入相關協定（esp或ipv6-crypt）的擴充模組�！侗�28》說明本過濾條件的唯一選項。


=========================
訣竅

本過濾條件必須在核心支援CONFIG_IP_NF_MATCH_AH_ESP組態時才有效。

=========================






范例：

iptable -A INPUT -p esp -m esp - -espspi 500 -j DROP

關于IPv6協定，請參閱《IPv6 Essentials》 （Silvia Hagen著，O Reilly 出版）相關參考：《ah過濾條件》。



FTOS目標

此目標的作用，是將包的整個Type of Service （ToS）欄位設定為特定值。它不理會ToS欄位的特殊演繹，象是級別服務（Differentiated Services），也不理會ToS各個子欄位的意義。FTOS目標只有一個選項，見《表29》。





舉例來說，下列命令將出境包設定為「普通服務」（0x00，對應名稱為Normal-Service）：
iptables -t mangle -A OUTPUT -j FTOS - -set-ftos 0


相關參考：

● 《tos過濾條件》

●如果只想影響ToS欄位的子欄位，請參閱《TOS目標》。



helper擴充模組

加載特定協議的聯機追蹤輔助模組，由該模組過濾所追蹤的連線類型之封包�！侗�30》說明本模組唯一支持的選項。


訣竅

本模組必須在核心支持CONFIG_IP_NF_MATCH_HELPER組態時才有效。






舉例來說，若希望IRC通訊(Internet Relay Chat）能通過防火墻，應該使用下列命令戴入irc輔助模組：
iptable -A INPUT -m -helper - -helper irc -j ACCEPT



icmp過濾條件

本擴充摸組使iptables能夠以「網際控制訊息協定」（ICMP）特有的資訊為過濾條件。使使用icmp過濾條件之前，必須先用 -p icmp戴入本模組�！秷D4》是ICMP header的各個欄位�！侗�31》說明icmp過濾條件的選項。










《表 32》正式ICMP協定型別與代碼，最新的正式資料在：http://www.iana.org/assignments/icmp- parameters(參考RFC3232《Assigned Numbers：RFC 1700 is Replaced by an On-line Database》，位于http://www.rfc-editor.org/rfc/rfc3232.txt）。請留心《表32》的「名稱」欄，以中文或粗體字型表示的項目，表示你只能以「代碼」來表示該項目，而不是名稱。








注譯：
package ：“封包”或稱呼為“包”
filter ： 篩選或 過濾

延伸閱讀

文章來源于領測軟件測試網 http://www.kjueaiud.com/