Действие ULOG

Действие TTL

Действие TTL используется для изменения содержимого поля Time To Live в IP заголовке. Один из вариантов применения этого действия – это устанавливать значение поля Time To Live ВО ВСЕХ исходящих пакетах в одно и то же значение.

Это действие не поддерживается ядром ОС МСВС, собранным по-умолчанию. Для предоставления возможности работы с действием TTL необходимо установить следующую сетевую опцию ядра:

CONFIG_IP_NF_TARGET_TTL=m

Действие TTL можно указывать только в таблице MANGLE и нигде больше. Для данного действия предусмотрено 3 ключа, описанных ниже (таблица 3.27).

Таблица 3.27. Действие TTL

Ключ	Пример	Описание
--ttl-set	iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64	Устанавливает поле TTL в заданное значение. Оптимальным считается значение около 64.
--ttl-dec	iptables –t mangle -A PREROUTING -o eth0 -j TTL --ttl-dec 1	Уменьшает значение поля TTL на заданное число.
--ttl-inc	iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-inc 1	Увеличивает значение поля TTL на заданное число.

Действие ULOG предоставляет возможность журналирования пакетов в пользовательское пространство (таблица 3.28). Оно заменяет традиционное действие LOG, базирующееся на системном журнале. При использовании этого действия, пакет, через сокеты netlink, передается специальному демону, который может выполнять детальное журналирование в различных форматах (обычный текстовый файл, база данных MySQL и пр.) и к тому же поддерживает возможность добавления надстроек (плагинов) для формирования различных выходных форматов и обработки сетевых протоколов.

Таблица 3.28. Действие ULOG

Ключ	Пример	Описание
--ulog-nlgroup	iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-nlgroup 2	Ключ --ulog-nlgroup сообщает ULOG, в какую группу netlink должен быть передан пакет. Всего существует 32 группы (от 1 до 32). По-умолчанию используется 1-я группа.
--ulog-prefix	iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix «SSH connection attempt:»	Ключ --ulog-prefix имеет тот же смысл, что и аналогичная опция в действии LOG. Длина строки префикса не должна превышать 32 символа.
--ulog-cprange	iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-cprange 100	Ключ --ulog-cprange определяет, какую долю пакета, в байтах, надо передавать демону ULOG. Если указать число 100, как показано в примере, то демону будет передано только 100 байт из пакета. Это означает, что демону будет передан заголовок пакета и некоторая часть области данных пакета. Если указать 0, то будет передан весь пакет, независимо от его размера. Значение по-умолчанию равно 0.
--ulog-qthreshold	iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-qthreshold 10	Ключ --ulog-qthreshold устанавливает величину буфера в области ядра. Например, если задать величину буфера равной 10, как в примере, то ядро будет накапливать журналируемые пакеты во внутреннем буфере и передавать в пользовательское пространство группами по 10 пакетов. По-умолчанию размер буфера равен 1 из-за сохранения обратной совместимости с ранними версиями ulogd, которые не могли принимать группы пакетов.

<== предыдущая лекция	\|	следующая лекция ==>
Действие REDIRECT	\|	Проверка наличия установленного пакета iptables

Поделиться с друзьями:

Дата добавления: 2014-01-15; Просмотров: 408; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.012 сек.