КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Критерий TOS
|
|
|
|
Критерий STATE
Критерий STATE используется совместно с кодом трассировки соединений и позволяет получать информацию о трассировочном признаке состояния соединения, что даёт возможность судить о состоянии соединения, причем даже для таких протоколов как ICMP и UDP
(таблица 3.16). Данное расширение необходимо загружать явно, с помощью ключа -m state.
Таблица 3.16. Критерии state
| Критерий | Пример | Описание |
| --state | iptables -A INPUT -m state --state RELATED,ESTABLISHED | Проверяется признак состояния соединения (state) На сегодняшний день можно указывать 4 состояния: INVALID, ESTABLISHED, NEW и RELATED. INVALID подразумевает, что пакет связан с неизвестным потоком или соединением и, возможно, содержит ошибку в данных или в заголовке. ESTABLISHED указывает на то, что пакет принадлежит уже установленному соединению через которое пакеты идут в обеих направлениях. NEW подразумевает, что пакет открывает новое соединение или пакет принадлежит однонаправленному потоку. И, наконец, RELATED указывает на то, что пакет принадлежит уже существующему соединению, но при этом он открывает новое соединение. Примером тому может служить передача данных по FTP или выдача сообщения ICMP об ошибке, которое связано с существующим TCP или UDP соединением. Следует отметить, что признак NEW это не то же самое, что установленный бит SYN в пакетах TCP, посредством которых открывается новое соединение. Подобного рода пакеты, могут быть потенциально опасны, если для защиты сети вы используете один сетевой экран. Более подробно эта проблема рассматривается ниже. |
Критерий TOS предназначен для проведения проверки битов поля TOS. TOS – Type Of Service – представляет собой 8-битовое, поле в заголовке IP-пакета (таблица 3.17). Модуль должен загружаться явно, ключом -m tos.
Данное поле служит для нужд маршрутизации пакета. Каждый бит поля TOS имеет своё значение. В пакете может быть установлен только один из битов этого поля, поэтому комбинации не допустимы. Каждый бит определяет тип сетевой службы. Рассмотрим их.
Минимальная задержка
Используется в ситуациях, когда время передачи пакета должно быть минимальным, то есть, если есть возможность, то маршрутизатор для такого пакета будет выбирать более скоростной канал. Например, если есть выбор между оптоволоконной линией и спутниковым каналом, то предпочтение будет отдано более скоростному оптоволокну.
Максимальная пропускная способность
Указывает, что пакет должен быть переправлен через канал с максимальной пропускной способностью. Например, спутниковые каналы, обладая большей задержкой, имеют высокую пропускную способность.
Максимальная надежность
При её определении выбирается максимально надежный маршрут во избежание необходимости повторной передачи пакета. Примером могут служить PPP и SLIP соединения, которые по своей надежности уступают, к примеру, сетям X.25, поэтому сетевой провайдер может предусмотреть специальный маршрут с повышенной надежностью.
Минимальные затраты
Этот тип сетевой службы применяется в случаях, когда важно минимизировать затраты
(в смысле деньги) на передачу данных. Например, при передаче через океан (на другой континент) аренда спутникового канала может оказаться дешевле, чем аренда оптоволоконного кабеля. Установка данного бита вполне может привести к тому, что пакет пойдет по более «дешевому» маршруту.
Обычный сервис
В данной ситуации все биты поля TOS сброшены. Маршрутизация такого пакета полностью отдается на усмотрение провайдера.
Таблица 3.17. Критерий TOS
| Критерий | Пример | Описание |
| --tos | iptables -A INPUT –p tcp -m tos --tos 0x16 | Данный критерий предназначен для проверки установленных битов TOS, которые описывались выше. Как правило, поле используется для нужд маршрутизации, но вполне может быть использовано с целью «маркировки» пакетов для использования с iproute2 и дополнительной маршрутизации в Linux. В качестве аргумента критерию может быть передано десятичное, шестнадцатеричное число или мнемоническое описание бита. Мнемоники и их числовое значение вы можете получить, выполнив команду iptables -m tos -h. Ниже приводятся мнемоники и их значения. Minimize-Delay 16 (0x10) (Минимальная задержка), Maximize-Throughput 8 (0x08) (Максимальная пропускная способность), Maximize-Reliability 4 (0x04) (Максимальная надежность), Minimize-Cost 2 (0x02) (Минимальные затраты), Normal-Service 0 (0x00) (Обычный сервис). |
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 621; Нарушение авторских прав?; Мы поможем в написании вашей работы!