Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.6.2.4.4. Módulos de opciones de coincidencia adicionales
Las opciones de coincidencia adicionales están disponibles a través de módulos cargados por el comando
iptables.
Para usar un módulo de opción de coincidencia, cargue el módulo por nombre mediante
-m <nombre-módulo>, donde <nombre-módulo> es el nombre del módulo.
Muchos módulos están disponibles de forma predeterminada. También puede crear módulos para proporcionar funcionalidades adicionales.
La siguiente es una lista parcial de los módulos más comúnmente usados:
limitmodule — Coloca los límites en la cantidad de paquetes que coinciden con una regla determinada.Cuando se utiliza junto con el destino deLOG, el módulolimitpuede evitar que el flujo de paquetes coincidentes llenen el registro del sistema con mensajes repetitivos o agoten todos los recursos del sistema.Consulte la Sección 2.6.2.5, “Opciones de destino” para obtener mayor información sobre el destino deLOG.El módulolimitpermite las siguientes opciones:--limit— Establece el número máximo para un periodo de tiempo determinado, especificado como un par de<valor>/<periodo>. Por ejemplo, el uso de--limit 5/hourpermite cinco coincidencias de regla por hora.Los periodos pueden ser en segundos, minutos, horas o días.Si el modificador de número y tiempo no se utiliza, se toma el valor predeterminado3/hour.--limit-burst—Establece un límite en el número de paquetes que pueden coincidir con una regla a la vez.Esta opción se especifica como un entero y debe utilizarse junto con la opción--limit.Si no se especifica el valor, se toma el valor predeterminado de cinco (5).
- Módulo de
state— Permite coincidencias de estado.El módulostatepermite las siguientes opciones:--state— corresponde a un paquete con los siguientes estados de conexión:ESTABLISHED— El paquete coincidente con otros paquetes en una conexión establecida. Necesita aceptar este estado para mantener una conexión entre el cliente y el servidor.INVALID— El paquete coincidente no puede conectarse a una conexión conocida.NEW— El paquete coincidente crea una nueva conexión o hace parte de una conexión de dos vías no vista anteriormente. Necesita aceptar este estado si desea permitir nuevas conexiones para el servicio.RELATED— El paquete coincidente inicia una nueva conexión relacionada de alguna forma con una conexión existente. Un ejemplo de ella es el FTP, el cual usa una conexión para controlar el tráfico (puerto 21), y una conexión independiente para transferir los datos (puerto 20).
Estos estados de conexión pueden usarse en combinación con otros al separarlos con comas, tal como-m state --state INVALID,NEW.
macmodule — Permite la concordancia entre direcciones MAC de hardware.El módulomacpermite la siguiente opción:--mac-source— Coincide con una dirección MAC de la tarjeta de interfaz de red que envió el paquete. Para excluir una dirección MAC de una regla, coloque un signo de exclamación (!) antes de la opción coincidente--mac-source.
Consulte la página de manual
iptables para obtener más opciones de coincidencia disponibles a través de los módulos.