ICMP критерии

UDP критерии

В данном разделе рассматриваются критерии, специфичные только для протокола UDP (таблица 3.9). Эти расширения подгружаются автоматически при указании типа протокола –protocol UDP. Важно отметить, что пакеты UDP не ориентированы на установленное соединение, и поэтому не имеют различных флагов, которые дают возможность судить о предназначении датаграммы. Получение UDP пакетов не требует какого-либо подтверждения со стороны получателя. Если они потеряны, то они просто потеряны (не вызывая передачу ICMP сообщения об ошибке). Это предполагает наличие значительно меньшего числа дополнительных критериев, в отличие от TCP пакетов.

Таблица 3.9. UDP критерии

Критерий	Пример	Описание
--sport, --source-port	iptables -A INPUT -p udp --sport 53	Исходный порт, с которого был отправлен пакет. В качестве параметра может указываться номер порта или название сетевой службы. Соответствие имен сервисов и номеров портов можно найти в файле /etc/services. При указании номеров портов правила отрабатывают несколько быстрее, но это менее удобно при разборе листингов скриптов. Номера портов могут задаваться в виде интервала из минимального и максимального номеров, например --source-port 22:80. Если опускается минимальный порт, то есть когда критерий записывается как --source-port:80, то в качестве начала диапазона принимается число 0. Если опускается максимальный порт, то есть когда критерий записывается как --source-port 22:, то в качестве конца диапазона принимается число 65535. Допускается такая запись --source-port 80:22, в этом случае iptables поменяет числа 22 и 80 местами, то есть подобного рода запись будет преобразована в --source-port 22:80. Как и раньше, символ! используется для инверсии. Так критерий --source-port! 22 подразумевает любой порт, кроме 22. Инверсия может применяться и к диапазону портов, например --source-port! 22:80.
--dport, --destination-port	iptables -A INPUT –p udp --dport 53	Порт, на который адресован пакет. Формат аргументов полностью аналогичен формату, принятому в критерии --source-port.

Этот протокол используется, как правило, для передачи сообщений об ошибках и для управления соединением. Он не является подчиненным IP протоколу, но тесно с ним взаимодействует, поскольку помогает обрабатывать ошибочные ситуации. Заголовки ICMP пакетов очень похожи на IP заголовки, но имеют и отличия. Главное свойство этого протокола заключается в типе заголовка, который содержит информацию о том, что это за пакет. Например, при попытке соединиться с недоступной машиной в ответ придет сообщение ICMP host unreachable. Существует только один специфичный критерий для ICMP пакетов (таблица 3.10). Это расширение загружается автоматически, при указании критерия –protocol ICMP. Для проверки ICMP пакетов могут употребляться и общие критерии, поскольку известны и адрес источника и адрес назначения.

Таблица 3.10. ICMP критерии

Критерий	Пример	Описание
--icmp-type	iptables -A INPUT -p icmp --icmp-type 8	Тип сообщения ICMP Тип сообщения ICMP определяется номером или именем. Числовые значения определяются в RFC 792. Чтобы получить список имен ICMP значений выполните команду iptables --protocol icmp --help. Как и ранее, символ! инвертирует критерий, например --icmp-type! 8.

<== предыдущая лекция	\|	следующая лекция ==>
TCP критерии	\|	Расширение MULTIPORT

Поделиться с друзьями:

Дата добавления: 2014-01-15; Просмотров: 802; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.008 сек.