Викиучебник

Iptables: различия между версиями

Интерактивная навигация по истории
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Нет описания правки
Строка 508:
iptables -t mangle -A POSTROUTING -p tcp -j TCPOPTSTRIP --strip-options timestamp
</source>
обеспечит удаление штампов времени ([http://tools.ietf.org/html/rfc1323 RFC 1323]). С одной стороны, такое правило будет препятствовать удаленному злоумышленнику определить {{w |аптайм}} нашего хоста, а также тех хостов, маршрут от которых до злоумышленника проходит через наш хост. С другой стороны, блокирование штампов времени может негативно сказаться на быстродействии сети, особенно если вы используете подключения на скорости [[w:Fast Ethernet |100&nbsp;МБит]] и выше. Заметим также, что если вам нужно управлять использованием именно штампов времени для TCP IPv4-пакетов, исходящих от вашего хоста, вы можете воспользоваться {{w |sysctl}}-параметром net.ipv4.tcp_timestamps (1 — штампы включены, 0 — выключены).
* '''TPROXY''' — реализует механизм полностью прозрачного [[w:Прокси-сервер |проксирования]]. Такой подход отличается от традиционно используемого «прозрачного» проксирования (действие REDIRECT [[#Таблица nat|таблицы nat]], см. ниже) тем, что заголовок пакета никак не&nbsp;модифицируется, в том числе не&nbsp;заменяется {{w |IP-адрес}} назначения (при традиционном прозрачном проксировании он заменяется на адрес проксирующего хоста). Кроме того, полностью прозрачное проксирование является прозрачным с точки зрения обеих общающихся сторон. Например, при проксировании обращений некоторой подсети клиентов к серверам из другой подсети, можно сделать так, чтобы не&nbsp;только клиенты считали, что обращаются напрямую к серверам, но и сервера «видели» настоящие исходные адреса клиентов и могли бы устанавливать с ними обратные соединения (например, в случае активного режима {{w |FTP}}). При традиционном же «прозрачном» проксировании, сервера могут видеть только адрес прокси-сервера.
 
Строка 1122:
===== [[MH]] =====
 
Критерий mh позволяет определять пакеты с подзаголовком IPv6 Mobility Header ([http://tools.ietf.org/html/rfc3775 RFC 3775]). Как и в случае с ICMPv6, вызов данного критерия должен выполняться в соответствии с синтаксисом для протокола (через ключ <tt>-p</tt>). Имеет единственную опцию
 
<tt>[!] '''--mh-type''' ''мин''[:''макс'']</tt>
Строка 2113:
 
===== netstat и ss =====
--><blockquote>iptables -L -n -v #Статистика всех правил iptables и счетчики обработанных пакетов<br>
-->
</blockquote>
 
== Фронтенды ==
Источник — https://ru.wikibooks.org/wiki/Iptables