Федеральное государственное бюджетное
NEW Все пакеты устанавливающие новое соеди- нение. ESTABLISHED
жүктеу/скачать 453.59 Kb. Pdf көрінісі
|
| NEW
Все пакеты устанавливающие новое соеди- нение. ESTABLISHED Все пакеты принадлежащие установленному соединению RELATED Пакеты, не принадлежащие установленному соединению, но связанные с ним. Например - FTP в активном режиме исполь- зует разные соединения для передачи дан- ных. Эти соединения связаны. INVALID Пакеты, которые не могут быть по тем или иным причинам идентифицированы. Например, ICMP ошибки, не принадлежащие существующим соединениям. iptables -A INPUT -m state —state NEW,ESTABLISHED - in-interface (сокращенно -i) Определяет интерфейс, на который прибыл пакет. Полезно для NAT и машин с несколь- кими сетевыми интерфейсами. iptables -t nat -A PRE- ROUTING —in- interface eth0 —out- interface (сокращенно -o) Определяет интерфейс, с которого уйдет пакет. Полезно для NAT и машин с несколь- кими сетевыми интерфейсами. iptables -t nat -A POS- TROUTING — in- interface eth1 —tcp-flags Определяет TCP флаги пакета. Содержит 2 параметра: список флагов, которые следует проверить и список флагов, которые должны быть установлены 20 —syn Сокращение для ‘—tcp-flags SYN,RST,ACK SYN’. Поскольку проверяет TCP флаги, ис- пользуется с —protocol tcp. В примере показан фильтр для пакетов с флагом NEW, но без флага SYN. Обычно такие пакеты должны быть выброшены (DROP). iptables -A INPUT — protocol tcp ! —syn - m state —state NEW Определение цели Чтобы определить действие, которое брандмауэр выполнит, если пакет в одной из цепочек удовлетворяет условию, iptables использует цели, уста- навливаемые с помощью ключа —jump (или просто -j). Целью может быть любая другая цепочка, куда будет передан пакет, или одно из следующих действий: жүктеу/скачать 453.59 Kb. Достарыңызбен бөлісу:
|