Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.6.2.4.4. Module mit zusätzlichen Übereinstimmungsoptionen

Zusätzliche Übereinstimmungsoptionen stehen durch Module zur Verfügung, die vom Befehl iptables geladen werden können.
Um ein Modul für Übereinstimmungsoptionen zu verwenden, müssen Sie das Modul namentlich mithilfe der Option -m <module-name> laden (wobei <module-name> der Name des Moduls ist).
Viele Module stehen standardmäßig zur Verfügung. Sie können zudem Ihre eigenen Module erstellen, um die Funktionalität zu erweitern.
Sehen Sie nachfolgend einige der am häufigsten verwendeten Module:
  • limit-Modul — Schränkt die Anzahl der Pakete ein, auf die eine bestimmte Regel zutrifft.
    Wenn das limit-Modul in Verbindung mit dem LOG-Ziel verwendet wird, kann es verhindern, dass eine Flut übereinstimmender Pakete das Systemprotokoll mit sich wiederholenden Nachrichten überschwemmen bzw. Systemressourcen verbrauchen.
    Werfen Sie einen Blick auf Abschnitt 2.6.2.5, »Zieloptionen« für weitere Informationen zum LOG-Ziel.
    Das limit-Modul akzeptiert die folgenden Optionen:
    • --limit — Bestimmt die maximale Zahl der Übereinstimmungen innerhalb eines bestimmten Zeitraums im Format <value>/<period>. Mit --limit 5/hour darf die Regel beispielsweise nur 5 Mal pro Stunde übereinstimmen.
      Die Zeiträume können in Sekunden, Minuten, Stunden oder Tagen angegeben werden.
      Wenn keine Angaben zur Anzahl oder Zeit gemacht werden, wird der Standardwert 3/hour angenommen.
    • --limit-burst — Setzt eine Grenze für die Anzahl von Paketen, die gleichzeitig mit einer Regel übereinstimmen können.
      Diese Option wird als ganzzahliger Wert angegeben und sollte zusammen mit der Option --limit verwendet werden.
      Wird kein Wert angegeben, so wird der Standardwert fünf (5) angenommen.
  • state-Modul — Ermöglicht Übereinstimmungen nach Zustand.
    Das state-Modul akzeptiert die folgenden Optionen:
    • --state — Übereinstimmung mit einem Paket, das folgenden Verbindungszustand hat:
      • ESTABLISHED — Das übereinstimmende Paket gehört zu anderen Paketen in einer bestehenden Verbindung. Sie müssen diesen Zustand akzeptieren, wenn Sie eine Verbindung zwischen Client und Server aufrecht erhalten möchten.
      • INVALID — Das übereinstimmende Paket kann nicht mit einer bekannten Verbindung verknüpft werden.
      • NEW — Das übereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei-Wege-Verbindung, die vorher nicht gesehen wurde. Sie müssen diesen Zustand akzeptieren, wenn Sie neue Verbindungen zu einem Dienst erlauben möchten.
      • RELATED — Ein übereinstimmendes Paket stellt eine neue Verbindung her, die auf irgendeine Weise mit einer bestehenden Verbindung zusammenhängt. Ein Beispiel hierfür ist FTP, das eine Verbindung zur Kontrolle des Datenverkehrs (Port 21) und eine separate Verbindung zur Übertragung von Daten (Port 20) verwendet.
      Diese Verbindungszustände können auch in Kombination verwendet werden, wobei sie durch Kommas getrennt werden, wie z. B. -m state --state INVALID,NEW.
  • mac-Modul — Ermöglicht Übereinstimmung anhand Hardware-MAC-Adressen.
    Das mac-Modul akzeptiert die folgende Option:
    • --mac-source — Überprüft die MAC-Adresse der Netzwerkkarte, die das Paket gesendet hat. Um eine MAC-Adresse von einer Regel auszuschließen, fügen Sie nach der --mac-source-Übereinstimmungsoption ein Ausrufezeichen (!) hinzu.
Werfen Sie einen Blick auf die Handbuchseite von iptables für weitere Übereinstimmungsoptionen, die über Module verfügbar sind.