КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Расширение OWNER
|
|
|
|
Расширение MARK
Расширение MARK предоставляет возможность «пометить» пакеты специальным образом. MARK – специальное поле, которое существует только в области памяти ядра ОС МСВС и связано с конкретным пакетом. Может использоваться в самых разнообразных целях, например, ограничение трафика и фильтрация. На сегодняшний день существует единственная возможность установки метки на пакет в ОС МСВС – это использование действия MARK (таблица 3.14). Поле MARK представляет собой беззнаковое целое число в диапазоне от 0 до 4294967296 для 32-битных систем.
Таблица 3.14. Расширение mark
| Критерий | Пример | Описание |
| --mark | iptables -t mangle -A INPUT -m mark --mark 1 | Критерий производит проверку пакетов, которые были предварительно «помечены». Метки устанавливаются действием MARK, которое мы будем рассматривать ниже. Все пакеты, проходящие через netfilter, имеют специальное поле mark. Следует помнить, что нет никакой возможности передать состояние этого поля вместе с пакетом в сеть. Поле mark является целым беззнаковым, таким образом, можно создать не более 65535 различных меток. Допускается использовать маску с метками. В данном случае критерий будет выглядеть следующим образом: --mark 1/1. Если указывается маска, то выполняется логическое AND метки и маски. |
Расширение OWNER предназначено для проверки «владельца» пакета (таблица 3.15). Изначально данное расширение было написано, как пример демонстрации возможностей iptables. Допускается использовать этот критерий только в цепочке OUTPUT. Такое ограничение наложено потому, что на сегодняшний день нет реального механизма передачи информации о «владельце» по сети. Справедливости ради следует отметить, что для некоторых пакетов невозможно определить «владельца» в этой цепочке. К пакетам такого рода относятся различные ICMP ответы. Поэтому не следует употреблять этот критерий к ICMP responses пакетам.
|
|
|
Таблица 3.15. Расширение owner
| Критерий | Пример | Описание |
| --uid-owner | iptables -A OUTPUT -m owner --uid-owner 500 | Производится проверка «владельца» по User ID (UID). Подобного рода проверка может использоваться, к примеру, для блокировки выхода в Интернет отдельных пользователей. |
| --gid-owner | iptables -A OUTPUT -m owner --gid-owner 0 | Производится проверка «владельца» пакета по Group ID (GID). |
| --pid-owner | iptables -A OUTPUT -m owner --pid-owner 78 | Производится проверка «владельца» пакета по Process ID (PID). |
| --sid-owner | iptables -A OUTPUT -m owner --sid-owner 100 | Производится проверка Session ID пакета. Значение SID наследуются дочерними процессами от «родителя», так, например, все процессы HTTPD имеют один и тот же SID (примером таких процессов могут служить HTTPD Apache и Roxen). |
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 319; Нарушение авторских прав?; Мы поможем в написании вашей работы!