Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.6.2.4.4. Módulos de Opção de Coincidência Adicional
Opções de coincidência adicionais estão disponíveis através de módulos carregados pelo comando
iptables.
Para usar um módulo de opção de coincidência, carregue o módulo pelo nome usando o
-m <module-name>, onde <module-name> é o nome do módulo.
Muitos módulos estão disponíveis por padrão. Você também pode criar módulos para fornecer funcionalidade adicional.
Segue uma lista parcial dos módulos mais usados:
- módulo
limit— Coloca limites em quantos pacotes são coincididos em uma regra específica.Quando usado em conjunto com o alvoLOG, o módulolimitpode evitar uma inundação de pacotes coincidentes de encher o log do sistema com mensagens repetitivas ou usar os recursos do sistema.Consulte a Seção 2.6.2.5, “Opções de Alvo” para mais informações sobre o alvoLOG.O módulolimithabilita as seguintes opções:--limit— Define o número máximo de coincidências para um período de tempo específico, especificado como um par<value>/<period>. Por exemplo, usando o--limit 5/hourpermite-se cinco coincidências de regras por hora.Períodos podem ser especificados em segundos, minutos, horas ou dias.Se um modificador de número e tempo não forem utilizados, o valor padrão de3/houré assumido.--limit-burst— Define um limite em um número de pacotes capazes de coincidir uma regra em uma vez.Esta opção é especificada como um número inteiro e deve ser usada em conjunto com a opção--limit.Se não for especificado nenhum valor, o valor padrão de cinco (5) será assumido.
- módule
state— Habilita coincidência de estado.O módulostatehabilita as seguintes opções:--state— coincide um pacote com os seguintes estados de conexões:ESTABLISHED— O pacote coincidente é associado com outros pacotes em uma conexão estabelecida. Você precisa aceitar este estado se você quiser manter uma conexão entre um cliente e um servidor.INVALID— O pacote coincidente não pode ser ligado à uma conexão conhecida.NEW— O pacote coincidente está tanto criando uma nova conexão ou é parte de uma conexão de duas vias ainda não vista. Você precisa aceitar este estado se você quiser permitir novas conexões para um serviço.RELATED— O pacote coincidente inicia uma nova conexão relacionada de alguma forma a uma conexão existente. Um exemplo disto é o FTP que usa uma conexão para o controle de tráfego (porta 21), e uma conexão separada para a transferência de dados (porta 20).
Estes estados de conexão podem ser usados em conjunto um com o outro separando-os com com vírgulas, tais como-m state --state INVALID,NEW.
macmodule — Habilita coincidência do endereço MAC de hardware.O módulomachabilita a seguinte opção:--mac-source— Coincide um endereço MAC de placa de interface de rede que enviou o pacote. Para excluir um endereço MAC de uma regra, coloque um ponto de exclamação (!) antes da opção de coincidência--mac-source.
Consulte a página man
iptables para mais opções de coincidência disponíveis através de módulos.