Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.6.2.4.4. Módulos de opciones de coincidencia adicionales

Las opciones de coincidencia adicionales están disponibles a través de módulos cargados por el comando iptables.
Para usar un módulo de opción de coincidencia, cargue el módulo por nombre mediante -m <nombre-módulo>, donde <nombre-módulo> es el nombre del módulo.
Muchos módulos están disponibles de forma predeterminada. También puede crear módulos para proporcionar funcionalidades adicionales.
La siguiente es una lista parcial de los módulos más comúnmente usados:
  • limit module — Coloca los límites en la cantidad de paquetes que coinciden con una regla determinada.
    Cuando se utiliza junto con el destino de LOG, el módulo limit puede evitar que el flujo de paquetes coincidentes llenen el registro del sistema con mensajes repetitivos o agoten todos los recursos del sistema.
    Consulte la Sección 2.6.2.5, “Opciones de destino” para obtener mayor información sobre el destino de LOG.
    El módulo limit permite las siguientes opciones:
    • --limit — Establece el número máximo para un periodo de tiempo determinado, especificado como un par de <valor>/<periodo>. Por ejemplo, el uso de --limit 5/hour permite cinco coincidencias de regla por hora.
      Los periodos pueden ser en segundos, minutos, horas o días.
      Si el modificador de número y tiempo no se utiliza, se toma el valor predeterminado 3/hour.
    • --limit-burst —Establece un límite en el número de paquetes que pueden coincidir con una regla a la vez.
      Esta opción se especifica como un entero y debe utilizarse junto con la opción --limit.
      Si no se especifica el valor, se toma el valor predeterminado de cinco (5).
  • Módulo de state — Permite coincidencias de estado.
    El módulo state permite las siguientes opciones:
    • --state — corresponde a un paquete con los siguientes estados de conexión:
      • ESTABLISHED — El paquete coincidente con otros paquetes en una conexión establecida. Necesita aceptar este estado para mantener una conexión entre el cliente y el servidor.
      • INVALID — El paquete coincidente no puede conectarse a una conexión conocida.
      • NEW — El paquete coincidente crea una nueva conexión o hace parte de una conexión de dos vías no vista anteriormente. Necesita aceptar este estado si desea permitir nuevas conexiones para el servicio.
      • RELATED — El paquete coincidente inicia una nueva conexión relacionada de alguna forma con una conexión existente. Un ejemplo de ella es el FTP, el cual usa una conexión para controlar el tráfico (puerto 21), y una conexión independiente para transferir los datos (puerto 20).
      Estos estados de conexión pueden usarse en combinación con otros al separarlos con comas, tal como -m state --state INVALID,NEW.
  • mac module — Permite la concordancia entre direcciones MAC de hardware.
    El módulo mac permite la siguiente opción:
    • --mac-source — Coincide con una dirección MAC de la tarjeta de interfaz de red que envió el paquete. Para excluir una dirección MAC de una regla, coloque un signo de exclamación (!) antes de la opción coincidente --mac-source.
Consulte la página de manual iptables para obtener más opciones de coincidencia disponibles a través de los módulos.