الوصف
| |
---|---|
بايتات حزم -c
|
عند استخدامه مع الأمر الفرعي
-A ، -I ، أو -R ، يقوم هذا الخيار بضبط عداد الحزم وعداد البايتات على القيمة المناسبة للقاعدة الجديدة أو المعدلة.
|
--exact
|
مرادف لـ
x- .
|
-h
|
عرض المعلومات المتعلقة باستخدام iptables. في حالة استخدام هذا الخيار بعد
m match- أو j target- ، فإن البرنامج سيقوم أيضاً بعرض أي مساعدة إضافية متعلقة بالامتداد match أو target (على التوالي).
|
--help
|
مرادف لـ
h- .
|
-j target [ options ]
|
يحدد هذا الخيار كيفية التعامل مع الحزم التي تتطابق مع القاعدة المطبقة. من الممكن أن يكون الهدف
target اسم سلسلة محددة من قبل المستخدم، أو إحدى الأهداف المدمجة، أو امتداداً من امتدادات iptables (في هذه الحالة، قد تكون هناك خيارات إضافية أخرى).
|
--jump
|
مرادف لـ
j- .
|
--line-numbers
|
في حالة استخدام هذا الخيار مع الأمر الفرعي
-L ، فإنه سيعرض أرقام القواعد في كل سلسلة، مما سيسمح لك باستخدامها كمؤشرات عند إضافة القواعد (بواسطة -I ) أو حذفها (بواسطة -D ).
|
-m match [ options ]
|
استدعاء
تطابق امتدادي مع خيارات إضافية إن أمكن ذلك.
|
--match
|
مرادف لـ
-m .
|
-M cmd
|
يُستَخدم لتحميل وحدة iptables (مع أهداف أو امتدادات تطابقية جديدة) عند إضافة القواعد أو تعويضها.
|
--modprobe= cmd
|
مرادف لـ
-M.
|
-n
|
يعرض العناوين والمنافذ بصيغتها الرقمية بدل اللجوء لاستخدام أسماء النطاقات والخدمات. تبرز فائدة هذا الخيار بالخصوص في الحالات التي تكون فيها خدمة تحويل أسماء النطاقات (DNS) بطيئة أو معطلة.
|
--numeric
|
مرادف لـ
-n .
|
--set-counters
|
مرادف لـ
-c .
|
-t table
|
يطبق الأمر الفرعي على الجدول
table . في حالة عدم استعمال هذا الخيار، فإن الأمر الفرعي يطبق افتراضياً على الجدول filter .
|
--table
|
مرادف لـ
-t .
|
-v
|
يسمح بالحصول على معلومات مفصلة.
|
--verbose
|
مرادف لـ
-v .
|
-x
|
يعرض القيم المضبوطة لعدادات الحزم والبايتات بدل الصيغة المختصرة الافتراضية ذات اللواحق المعيارية (M ،K أو G).
|
iptables -h iptables -mmatch
-h iptables -jTARGET
-h man iptables
-C
في الخلاصة، لكن هذا الخيار غير موجود.
الخيار
|
الوصف
|
---|---|
-A chain rule
|
إضافة
قاعدة لنهاية السلسلة .
|
--append
|
مرادف لـ
-A .
|
-D chain
[ index | rule ]
|
حذف القاعدة المتواجدة بالموضع
index أو القاعدة المدعوة rule من السلسلة chain .
|
--delete
|
مرادف لـ
-D .
|
--delete-chain
|
مرادف لـ
-X .
|
-E chain newchain
|
تغيير التسمية من
chain إلى newchain .
|
[ -F [ chain
|
حذف كل القواعد من السلسلة
chain (أو من كافة السلاسل إذا لم تُحدَّد أي سلسلة معينة).
|
--flush
|
مرادف لـ
-F .
|
-I chain [index]
rule
|
إضافة القاعدة
rule إلى السلسلة chain ، إما في بداية السلسلة أو بالموضع index .
|
--insert
|
مرادف لـ
I- .
|
L [ chain ]-
|
سرد القواعد التابعة للسلسلة
chain (أو لكافة السلاسل إذا لم تُحدَّد أي سلسلة معينة)
|
--list
|
مرادف لـ
L- .
|
-N chain
|
إنشاء السلسلة
chain وفق مواصفات المستخدم.
|
--new-chain
|
مرادف لـ
-N . مختصر عادة على شكل --new .
|
-P chain target
|
ضبط السياسة الافتراضية للسلسلة المدمجة
chain على الهدف target . هذا الخيار لا يصلح إلا للسلاسل والأهداف المدمجة.
|
--policy
|
مرادف لـ
-P .
|
R chain index rule-
|
تعويض القاعدة المتواجدة بالموضع
index للسلسلة chain بقاعدة rule الجديدة.
|
--rename-chain
|
مرادف لـ
-E .
|
--replace
|
مرادف لـ
-R .
|
-V
|
عرض إصدار iptables.
|
--version
|
مرادف لـ -V
.
|
-X [ chain ]
|
حذف السلسلة
chain المحددة من قبل المستخدم (أو كافة السلاسل المحددة من قبل المستخدم إذا لم تحدد أي سلسلة).
|
-Z chain
|
إعادة عدادات الحزم والبايتات الخاصة بالسلسلة
chain إلى الصفر (أو العدادات الخاصة بكافة السلاسل إذا لم تحدد أي سلسلة).
|
--zero
|
مرادف لـ -Z
.
|
icmp
، tcp
وudp
تُحمَّل بشكل أوتوماتيكي عند استخدام الخيار -p
).
[!]
. يقتصر الوصف المقدم في الفقرات الموالية على المنحى المباشر، حيث يمكنك استنتاج مضمون المنحى المعاكس من الوصف.
DROP
كسياسة للسلاسل المدمجة.
-p ah
(أو -p ipv6-auth
أو -p 51
). الجدول 1.17, “خيارات التطابق ah” يقدم وصفاً للخيار الوحيد لهذا التطابق.
CONFIG_IP_NF_MATCH_AH_ESP
.
الخيار
|
الوصف
|
---|---|
--ahspi
[ max :] min [!]
|
إجراء التطابق مع القيمة (إذا لم تتوفر إلا القيمة الدنيا
min ) أو المجال المغلق (في حالة توفر القيمتين الدنيا min والقصوى max ) لحقل SPI الخاص برأس التحقق (AH).
|
iptables -A INPUT -p ah -m ah --ahspi 500 -j DROP
esp
.
الخيار
|
الوصف
|
---|---|
--mark
value [/ mask ]
|
تطابق متوفر في حالة ما إذا كانت علامة توصيل الحزمة مُعادِلة للقيمة
value بعد تطبيق mask .
|
الخيار
|
الوصف
|
---|---|
--set-mark value
|
ضبط علامة توصيل الحزمة على القيمة الصحيحة
value .
|
--save-mark
|
حفظ علامة الحزمة في الاتصال.
|
--restore-mark
|
استرجاع علامة الحزمة انطلاقاً من الاتصال.
|
connmark
.
CONFIG_IP_NF_MATCH_CONNTRACK
.
الخيار
|
الوصف
|
---|---|
[!] --ctexpire
min [/ max ]
|
إجراء التطابق مع القيمة (إذا لم تتوفر إلا القيمة الدنيا
min ) أو المجال المغلق (في حالة توفر القيمتين الدنيا min والقصوى max ) للمدة المتبقية للاتصال (بالثواني).
|
[!] --ctorigdst
addr [/ mask ]
|
إجراء التطابق ارتكازاً على عنوان الوجهة الأصلي (قبل ترجمة عناوين الشبكة).
|
[!] --ctorigsrc
addr [/ mask ]
|
إجراء التطابق ارتكازاً على عنوان المصدر الأصلي (قبل ترجمة عناوين الشبكة).
|
[!] --ctproto
proto
|
إجراء التطابق ارتكازاً على البروتوكول المحدد. من الممكن أن يكون الوسيط
proto رقماً أو اسماً لبروتوكول معين. انظر أيضاً الجدول 1.37, “بروتوكولات IP الاعتيادية”.
|
[!] --ctrepldst
addr [/ mask ]
|
إجراء التطابق ارتكازاً على عنوان الوجهة البديل (بعد NAT).
|
[!] --ctreplsrc
addr [/ mask ]
|
إجراء التطابق ارتكازاً على عنوان المصدر البديل (بعد NAT).
|
--ctstate[!]
الحالات
|
إجراء التطابق مع أي حالة من حالات تعقب الاتصال. الوسيط
states عبارة عن قائمة مفصولة بفواصل تشمل حالات تعقب الاتصال (انظر الجدول الجدول 1.10, “حالات تعقب الاتصال”) أو SNAT أو DNAT .
|
--ctstatus[!]
الحالات
|
إجراء التطابق مع أي حالة من حالات تعقب الاتصال. الوسيط
states عبارة عن قائمة مفصولة بفواصل تشمل حالات تعقب الاتصال (انظر الجدول 1.11, “حالات تعقب الاتصال”). من الممكن استخدام القيمة الخاصة NONE للإشارة إلى وجوب عدم ضبط أي بت من بتات الحالة.
|
الخيار
|
الوصف
|
---|---|
--to-destination
a1 [- a2 ][: p1 - p2 ]
|
يستخدم كل من a1 وa2 لتحديد مجال معين لعناوين الوجهة، بينما يتم اللجوء إلى p1 وp2 لتحديد مجال معين من المنافذ (لبروتوكولات TCP أو UDP).
|
PREROUTING
وOUTPUT
لجدول nat
.
eth0
إلى خادم ويب مثبت داخلياً على المضيف 192.168.1.80، سوف نستخدم ما يلي:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.80
REDIRECT
للتوجيه البسيط إلى المنافذ على الحاسوب المحلي.
SNAT
لترجمة عناوين المصدر.
nth
كوسيلة بديلة لتوزيع الحِمل.
DROP
والهدف ACCEPT
كسياسة للسلاسل المدمجة.
REJECT
الذي يقوم بإرسال رد من نوع ICMP إلى المُرسِل.
CONFIG_IP_NF_MATCH_DSCP
.
الخيار
|
الوصف
|
---|---|
--dscp value
|
إجراء التطابق إذا كان حقل DSCP يعادل القيمة
value ، والتي يمكن تمثيلها بالصيغة العشرية أو الست عشرية (مثل 0x0e ).
|
--dscp-class name
|
إجراء التطابق إذا كانت قيمة الحقل DSCP تتناسب مع
اسم فئة DSCP.
الأسماء المتوفرة هي
AF[1–3][1–4] ، BE ، CS[0–7] وEF . انظر الجدول 1.23, “فئات الخدمات المتمايزة” للاطلاع على وصف الفئات والجدول 1.24, “أسماء وقيم فئات الخدمات المتمايزة (DS)” للاطلاع على قيم DSCP المقابلة.
|
الوصف
| |
---|---|
AF
|
التمرير المضمون (Assured Forwarding). للحصول على المزيد من المعلومات حول فئة "AF"، انظر الوثيقة RFC 2597، "Assured Forwarding PHB Group" (متوفرة على الرابط http://www.rfc-editor.org/rfc/rfc2597.txt).
|
BE
|
أفضل جهد (Best Effort).
|
CS
|
منتقي الفئات (Class Selector).
|
EF
|
التمرير العاجل (Expedited Forwarding). للحصول على المزيد من المعلومات حول فئة "EF"، انظر الوثيقة RFC 2598، "An Expedited Forwarding PHB" (متوفرة على الرابط http://www.rfc-editor.org/rfc/rfc2598.txt).
|
الإسم
|
القيمة
|
---|---|
AF11
|
0x0a
|
AF12
|
0x0c
|
AF13
|
0x0e
|
AF21
|
0x12
|
AF22
|
0x14
|
AF23
|
0x16
|
AF31
|
0x1a
|
AF32
|
0x1c
|
AF33
|
0x1e
|
AF41
|
0x22
|
AF42
|
0x24
|
AF43
|
0x26
|
BE
|
0x00
|
CS0
|
0x00
|
CS1
|
0x08
|
CS2
|
0x10
|
CS3
|
0x18
|
CS4
|
0x20
|
CS5
|
0x28
|
CS6
|
0x30
|
CS7
|
0x38
|
EF
|
0x2e
|
DSCP
.
CONFIG_IP_NF_TARGET_DSCP
.
الخيار
|
الوصف
|
---|---|
--set-dscp القيمة
|
تعويض محتوى حقل DSCP بالقيمة
value التي يمكن تمثيلها بالصيغة العشرية أو الست عشرية (مثل 0x0e )
|
--set-dscp-class name
|
ضبط محتوى حقل DSCP على القيمة المحددة لاسم فئة DSCP (
name ).
الأسماء المتوفرة هي
AF[1–3][1–4] ، BE ، CS[0–7]وEF . انظر الجدول 1.23, “فئات الخدمات المتمايزة” للاطلاع على وصف الفئات والجدول 1.24, “أسماء وقيم فئات الخدمات المتمايزة (DS)” للحصول على قيم DSCP المقابلة.
|
0x0e
، سوف نستعمل الأمر الآتي:
iptables -t mangle -A OUTPUT -j DSCP --set-dscp 0x0e
dscp
.
CONFIG_IP_NF_MATCH_ECN
.
ECN
.
mangle
. الجدول 1.27, “خيارات الهدف ECN” يقدم وصفاً لخيارات هذا الهدف.
CONFIG_IP_NF_TARGET_ECN
.
الخيار
|
الوصف
|
---|---|
--ecn-tcp-cwr n
|
ضبط بت CWR (Congestion Window Reduced) برأس IPv4 على
n (0–1).
|
--ecn-tcp-ece n
|
ضبط بت ECE (ECN Echo) برأس IPv4 على
n (0–1).
|
--ecn-tcp-ect n
|
ضبط حقل ECT (بتّان اثنان) برأس IPv4 على
n (0–3).
|
--ecn-tcp-remove
|
مسح كافة حقول ECN الخاصة برأس IPv4.
|
ecn
.
-p esp
(أو -p ipv6-crypt
أو -p 50
). الجدول 1.28, “خيارات التطابق esp” يقدم وصفاً للخيار الوحيد لهذا التطابق.
CONFIG_IP_NF_MATCH_AH_ESP
.
الخيار
|
الوصف
|
---|---|
--espspi
[!] min [: max ]
|
إجراء التطابق مع القيمة (إذا لم تتوفر إلا القيمة الدنيا
min ) أو المجال المغلق (في حالة توفر القيمتين الدنيا min والقصوى max ) لحقل SPI الخاص بالحمولة الأمنية المغلفة (ESP).
|
iptables -A INPUT -p esp -m esp --espspi 500 -j DROP
ah
.
الوصف
| |
---|---|
--set-ftos القيمة
|
ضبط الحقل المخصص لنوع خدمة IP على القيمة
value التي يمكن تمثيلها بالصيغة العشرية أو الست عشرية (هذا الهدف لا يقبل الأسماء الخاصة بنوع الخدمة). انظر الجدول 1.34, “قيم ToS في الإصدار الرابع من بروتوكول الإنترنت” للاطلاع على قائمة أنواع الخدمات.
|
iptables -t mangle -A OUTPUT -j FTOS --set-ftos 0
tos
.
TOS
لهدف لا يؤثر إلا على الجزء الثانوي TOS بحقل نوع الخدمة.
CONFIG_IP_NF_MATCH_HELPER
.
الخيار
|
الوصف
|
---|---|
--helper name
|
استدعاء الوحدة المساعدة لتعقب الاتصال
name . القيمة النموذجية للخيار name هي amanda ، ftp ، irc أو tftp .
|
iptables -A INPUT -m helper --helper irc -j ACCEPT
-p icmp
. يمكنك الاطلاع على حقول رأس ICMP في الشكل 1.4, “بنية رأس ICMP (RFC 792)”. الجدول 1.31, “خيارات التطابق icmp” يقدم وصفاً لخيارات هذا التطابق.
الوصف
| |
---|---|
--icmp-type
[!] typename
|
إجراء التطابق بالاعتماد على نوع ICMP المحدد:
typename .الجدول 1.32, “أنواع ورموز بروتوكول ICMP”
|
--icmp-type
[!] type [/ code ]
|
إجراء التطابق icmp حسب النوع
type والرمز code المحددين. انظر أيضاً الجدول 1.32, “أنواع ورموز بروتوكول ICMP”.
|
النوع
|
الرمز
|
الإسم
|
---|---|---|
0
|
أيّاً كان
|
echo-reply (رد على شكل echo) أو pong
|
1
|
أيّاً كان
|
Unassigned (غير معين)
|
2
|
أيّاً كان
|
Unassigned (غير معين)
|
3
|
أيّاً كان
|
destination-unreachable (لا يمكن الوصول إلى الوجهة)
|
0
|
network-unreachable (لا يمكن الوصول إلى الشبكة)
| |
1
|
host-unreachable (لا يمكن الوصول إلى المضيف)
| |
2
|
protocol-unreachable (لا يمكن الوصول إلى البروتوكول)
| |
3
|
port-unreachable (لا يمكن الوصول إلى المنفذ)
| |
4
|
fragmentation-needed (تجزئة ضرورية)
| |
5
|
source-route-failed (فشل مسار المصدر)
| |
6
|
network-unknown (شبكة مجهولة)
| |
7
|
host-unknown (مضيف مجهول)
| |
8
|
Source Host Isolated (المضيف المصدر معزول)
| |
9
|
network-prohibited (شبكة محظورة)
| |
10
|
host-prohibited (مضيف محظور)
| |
11
|
TOS-network-unreachable (استحالة الوصول إلى الشبكة لنوع الخدمة المحدد)
| |
12
|
TOS-host-unreachable (استحالة الوصول إلى المضيف لنوع الخدمة المحدد)
| |
13
|
communication-prohibited (اتصال محظور)
| |
14
|
host-precedence-violation (خرق الأسبقية للمضيف)
| |
15
|
precedence-cutoff (فصل الأسبقية)
| |
4
|
أيّاً كان
|
source-quench (إخماد المصدر)
|
5
|
أيّاً كان
|
redirect (إعادة التوجيه)
|
0
|
network-redirect (إعادة التوجيه للشبكة)
| |
1
|
host-redirect (إعادة التوجيه للمضيف)
| |
2
|
TOS-network-redirect (إعادة التوجيه للشبكة ونوع الخدمة)
| |
3
|
TOS-host-redirect (إعادة التوجيه للمضيف)
| |
6
|
أيّاً كان
|
Alternate Host Address (عنوان بديل للمضيف)
|
7
|
أيّاً كان
|
Unassigned (غير معيّن)
|
8
|
أيّاً كان
|
echo-request (طلب رد من نوع echo) أو ping
|
9
|
أيّاً كان
|
router-advertisement (إعلان صادر عن الموجه)
|
0
|
Normal router advertisement (إعلان عادي صادر عن الموجه)
| |
16
|
Does not route common traffic (لا يوجه حركة المرور الاعتيادية)
| |
10
|
أيّاً كان
|
router-solicitation (استدعاء الموجه)
|
11
|
أيّاً كان
|
time-exceeded (مدة زمنية متجاوزة) أو ttl-exceeded (مدة حياة متجاوزة)
|
0
|
ttl-zero-during-transit (مدة حياة منعدمة خلال العبور)
| |
1
|
ttl-zero-during-reassembly (مدة حياة منعدمة خلال إعادة التجميع)
| |
12
|
أيّاً كان
|
parameter-problem (مشكل مرتبط بالمعلمات)
|
0
|
ip-header-bad (رأس ip غير صالح)
| |
1
|
required-option-missing (خيار ضروري ناقص)
| |
2
|
Bad Length (طول غير صالح)
| |
13
|
أيّاً كان
|
timestamp-request (طلب الطابع الزمني)
|
14
|
أيّاً كان
|
timestamp-reply (رد الطابع الزمني)
|
15
|
أيّاً كان
|
Information Request (طلب معلومات)
|
16
|
أيّاً كان
|
Information Reply (رد المعلومات)
|
17
|
أيّاً كان
|
address-mask-request (طلب قناع العنوان)
|
18
|
أيّاً كان
|
address-mask-reply (رد قناع العنوان)
|
19–29
|
أيّاً كان
|
Reserved (محجوز)
|
30
|
أيّاً كان
|
Traceroute
|
31
|
أيّاً كان
|
Datagram Conversion Error (خطأ في تحويل جزئيات البيانات)
|
32
|
أيّاً كان
|
Mobile Host Redirect (إعادة توجيه المضيف المتنقل)
|
33
|
أيّاً كان
|
IPv6 Where-Are-You (IPv6: أينك)
|
34
|
أيّاً كان
|
IPv6 I-Am-Here (IPv6: أنا هنا)
|
35
|
أيّاً كان
|
Mobile Registration Request (طلب تسجيل مضيف متنقل)
|
36
|
أيّاً كان
|
Mobile Registration Reply (رد خاص بطلب تسجيل المضيف المتنقل)
|
37
|
أيّاً كان
|
Domain Name Request (طلب اسم النطاق)
|
38
|
أيّاً كان
|
Domain Name Reply (رد خاص بطلب اسم النطاق)
|
39
|
أيّاً كان
|
SKIP
|
40
|
أيّاً كان
|
Photuris
|
0
|
Bad SPI (SPI غير صالح)
| |
1
|
Authentication Failed (فشل عملية التحقق)
| |
2
|
Decompression Failed (فشل فك الضغط)
| |
3
|
Decryption Failed (فشل فك التشفير)
| |
4
|
Need Authentication (تحقق ضروري)
| |
5
|
Need Authorization (ترخيص ضروري)
| |
41–255
|
أيّاً كان
|
Reserved (محجوز)
|
iptables
بدون الوسيط -m. الشكل 1.5, “بنية رأس IPv4 (RFC 791 وRFC 3168)” يعرض بنية الحقول في حزمة IPv4. تدعم هذه الحقول العديد من امتدادات التطابق وامتدادات الأهداف (بما في ذلك مجموعة التطابقات المدمجة الموصوفة في هذه الفقرة). الجدول 1.36, “خيارات التطابق لبروتوكول الإنترنت” يقدم وصفاً لخيارات هذا التطابق.
الرمز
|
الوصف
|
---|---|
0
|
روتين (اعتيادي)
|
1
|
أولوي
|
2
|
فوري
|
3
|
عاجل
|
4
|
إلغاء عاجل
|
5
|
CRITIC/ECP (بالغ الأهمية)
|
6
|
إدارة الشبكات المتداخلة
|
7
|
إدارة الشبكة
|
0001
في المستند RFC تتطابق مع القيمة الثنائية الكاملة 00010
("2" في النظام العشري) المذكورة في الجدول 1.34, “قيم ToS في الإصدار الرابع من بروتوكول الإنترنت”.
الرقم
|
الإسم
|
الوصف
|
---|---|---|
(
0x00 ) 0
|
Normal-Service
|
طلب الخدمة العادية (الافتراضية).
|
(
0x02 ) 2
|
Minimize-Cost
|
طلب المسار الأقل تكلفة (من الناحية المادية).
|
(
0x04 ) 4
|
Maximize-Reliability
|
طلب المسار الأكثر موثوقية.
|
(
0x08 ) 8
|
Maximize-Throughput
|
طلب المسار ذو الدفق الأقصى.
|
(
0x10 ) 16
|
Minimize-Delay
|
طلب المسار الأقل تأخيراً.
|
النسخ
|
الفئة
|
الرقم
|
القيمة
|
الوصف
|
---|---|---|---|---|
1
|
0
|
3
|
131
|
يضمن خيار
LSR (Loose Source Routing) معالجة الحزمة من قبل سلسلة معينة من الموجهات خلال تنقلها من المصدر إلى الوجهة، مع السماح بمرورها عبر موجهات أخرى. يسجل المسار المتخذ على شاكلة الخيار "Record Route".
|
0
|
2
|
4
|
68
|
يأمر خيار
TS (Timestamp) الموجهات بتسجيل طوابع زمنية في الحزمة عند معالجتها.
|
0
|
0
|
7
|
7
|
يأمر خيار
RR (Record Route) الموجهات بتسجيل عناوينها في الحزمة حتى يتسنى لمضيف الوجهة فحص المسار الذي سلكته من المصدر إلى الوجهة المقصودة.
|
1
|
0
|
9
|
137
|
يأمر خيار
SSR (Strict Source Routing) الموجهات بالحرص على معالجة الحزمة من قبل مجموعة من الموجهات المتواجدة بين المصدر والوجهة دون المرور بأي موجهات أخرى. يسجل المسار المتخذ على شاكلة الخيار "Record Route".
|
1
|
0
|
20
|
148
|
يستخدم خيار
RTRALT (Router alert) لتبليغ الموجهات بضرورة فحص الحزمة بدقة أكبر، مع سحبها من المسار السريع إذا اقتضى الأمر ذلك. قد يكون ذلك مفيداً في حالة إدراج بروتوكول جديد (انظر المستند RFC 2113 "IP Router Alert Option" المتوفر على الرابط الآتي http://www.rfc-editor.org/rfc/rfc2113.txt).
|
00
في النظام الثنائي) بالنسبة لخيارات إدارة الشبكة واثنين (10
في النظام الثنائي) بالنسبة لخيارات تصحيح الأخطاء (بينما تتم الاستعاضة عن استخدام القيمتين الأخرتين 1
و3
). تُخصَّص البتات الخمسة المتبقية من القيمة الثمانية البتات لرقم الخيار. (غالباً ما تستخدم القيمة الثمانية البتات بدل القيمة الخماسية للإشارة إلى الخيارات.)
الخيار
|
الوصف
|
---|---|
d [!] addr [/ mask ]-
|
عنوان الوجهة
addr (أو مجال العناوين، في حالة توفر القناع mask )
|
--destination
|
مرادف لـ -d
.
|
--dst
|
مرادف لـ -d
.
|
[!] -f
|
الجزء الثاني أو الموالي من أجزاء الحزمة التي تمت تجزئتها. نادراً ما يستعمل هذا الخيار، لأن تعقب الاتصال يسمح بإزالة التجزئة بشكل تلقائي. لكنك تستطيع استخدامه في حالة عدم استعمالك لتعقب الاتصالات.
|
--fragments
|
مرادف لـ f-
. مختصر عادة على شكل --fragment (تستخدم الصيغة المختصرة أيضاً في صفحة دليل iptables ).
|
-i [!] in
|
واجهة الدخل
in (أو أي واجهة يبدأ اسمها بـلفظ in إذا كان هذا الأخير مذيلاً برمز + ).
|
--in-interface
|
مرادف لـ
-i .
|
-o [!] out
|
واجهة الخرج
out (أو أي واجهة يبدأ اسمها بـلفظ out إذا كان هذا الأخير مذيلاً برمز + ).
|
--out-interface
|
مرادف لـ .
-o
|
-p [!] proto
|
بروتوكول يحمل الإسم أو الرقم
proto .
انظر الجدول 1.37, “بروتوكولات IP الاعتيادية” للاطلاع على قائمة أسماء وأرقام البروتوكولات الاعتيادية. سوف يتم الاطلاع على ملف /etc/protocols في نظامك لربط الأسماء الرسمية بالأرقام المقابلة لها (مع أخذ حالة الأحرف بعين الاعتبار). لا يمكن استخدام الأسماء المستعارة الواردة في ملف /etc/protocols. انظر أيضاً قائمة البروتوكولات الرسمية في http://www.iana.org/assignments/protocol-numbers.
يستخدم p protocol - الخيار -m protocol بشكل ضمني عندما يكون الوسيط protocol هو icmp ، tcp أو udp .
|
--protocol
|
مرادف لـ
-p . مختصر عادة على شكل --proto .
|
-s [!] addr [/ mask ]
|
عنوان المصدر
addr (أو المجال، في حالة توفر القناع mask ).
|
--source
|
مرادف لـ
-s .
|
--src
|
مرادف لـ -s
.
|
192.168.1.0/255.255.255.0
أو ترقيم CIDR (Common Inter-Domain Routing) الحديث مثل 192.168.1.0/24
(يرجى الاطلاع على المستند RFC 1591 المتوفر على الرابط http://www.rfc-editor.org/rfc/rfc1519.txt) لمواصفات العناوين مع -s
و-d
.
الإسم
|
الرقم/الأرقام
|
الوصف
|
---|---|---|
ah
|
51
|
مرادف للخيار
ipv6-auth المدمج في iptables (لا يتواجد عادة في /etc/protocols).
|
ALL
|
1, 6, 17
|
مكافئ لعدم تحديد أي بروتوكول.
|
esp
|
50
|
مرادف للخيار
ipv6-crypt المدمج في iptables (لا يتواجد عادة في /etc/protocols).
|
icmp
|
1
|
بروتوكول رسائل التحكم بالإنترنت (ICMP)
|
igmp
|
2
|
بروتوكول الإنترنت لإدارة المجموعات (IGMP)
|
ipv6-auth
|
51
|
رأس التحقق ببروتوكول الإنترنت (الإصدار السادس)
|
ipv6-crypt
|
50
|
رأس التشفير ببروتوكول الإنترنت (الإصدار السادس)
|
ospf
|
89
|
فتح المسار الأقصر أولاً (Open Shortest Path First)
|
tcp
|
6
|
بروتوكول التحكم بالإرسال
|
udp
|
17
|
بروتوكول جزئيات بيانات المستخدم (UDP)
|
count
. الجدول 1.38, “خيارات التطابق iplimit” يقدم وصفاً لخيارات هذا التطابق.
الخيار
|
الوصف
|
---|---|
[!] --iplimit-above
count
|
عدد الاتصالات المتزامنة في الشبكة الواحدة. تتشكل "الشبكة" في هذا السياق من كافة عناوين IP المتطابقة بعد تصفير البتات المتواجدة على أقصى اليمين، والتي يبلغ عددها
n بت. تُحدَّد قيمة n بواسطة الخيار --iplimit-mask .
|
--iplimit-mask n
|
ضبط عدد البتات
n بعناوين IP الخاضعة للتصفير قبل تجميعها في شبكات منطقية. تبلغ القيمة الافتراضية 32، مما يعني بأن كافة عناوين IP تعتبر جزءاً من نفس "الشبكة."
|
iptables -A INPUT -m iplimit ! --iplimit-above 10 iptables -A INPUT -m iplimit --iplimit-above 1000
SYN
:
iptables -A INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 --iplimit-mask 24 -j REJECT
limit
الذي يسمح بوضع حدود مرتبطة بمعدل النقل.
الخيار
|
الوصف
|
---|---|
--ssrr
|
خيار ssrr (Strict Source and Record Route) متوفر. انظر المستند RFC 791.
|
--lsrr
|
خيار lsrr (Loose Source and Record Route) متوفر. انظر المستند RFC 791.
|
--no-srr
|
خيار srr (Source and Record Route) غير متوفر. انظر المستند RFC 791.
|
[!] --rr
|
خيار rr (Record Route) متوفر. انظر المستند RFC 791.
|
[!] --ts
|
خيار ts (Time Stamp) متوفر. انظر المستند RFC 791.
|
[!] --ra
|
خيار ra (Router Alert) متوفر. انظر المستند RFC 2113.
|
[!] --any-opt
|
هناك خيار واحد متوفر على الأقل.
|
iptables -A INPUT -m ipv4options --any-opt -j DROP
IPV4OPTSSTRIP
للاطلاع على كيفية حذف الخيارات من رؤوس IP.
mangle
.
iptables -t mangle -A PREROUTING -j IPV4OPTSSTRIP
ipv4options
للاطلاع على كيفية مطابقة الحزم حسب الخيارات المتوفرة في رأس IP.
CONFIG_IP_NF_MATCH_LENGTH
.
الخيار
|
الوصف
|
---|---|
--length min
--length min :
--length : max
--length min : max
|
إجراء التطابق مع القيمة (إذا لم تتوفر إلا القيمة الدنيا
min ) أو المجال المغلق (في حالة توفر القيمتين الدنيا min والقصوى max ) المحدد للطول الإجمالي للحزمة.
تعادل القيمة الافتراضية للمعامل min الصفر، بينما تعادل القيمة الافتراضية للمعامل max 65535.
|
iptables -A INPUT -p icmp --icmp-type ping -m length --length 1000 -j DROP
CONFIG_IP_NF_MATCH_LIMIT
.
الخيار
|
الوصف
|
---|---|
--limit
[ rate [/ unit ]]
|
عدد الحزم التي سيسمح لها بالعبور في الوحدة الزمنية
unit . ينخفض عداد الحزم الداخلي بدرجة واحدة في كل مرة يتم فيها قبول حزمة معينة. وبمقابل ذلك، يرتفع العداد وفق المعدل rate المضبوط في كل فترة زمنية واحدة (unit )، إلى أن يتم بلوغ الحد الأقصى المضبوط في المعامل --limit-burst . في حالة عدم توفر أي وسيط، فإن القيمة الافتراضية المستعملة هي الساعة/3 . الوحدة الزمنية الافتراضية هي الثانية .
|
--limit-burst
[ count ]
|
ضبط عدد الحزم (
count ) التي يمكن أن تخضع للمطابقة في دفعة واحدة. تستخدم هذه القيمة لتشغيل عداد داخلي للحزم المقبولة (حتى لا يتجاوز عدد الحزم المقبولة القيمة count قبل الفترة الزمنية الأولى). كما تسمح بضبط الحد الأقصى للعداد (حتى لا يفوق عدد الحزم المقبولة القيمة count في الوحدة الزمنية الواحدة).
في حالة عدم ضبط الخيار
count ، فإن القيمة الافتراضية المستخدمة هي 5.
|
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type ping -m limit !--limit 10/s -j DROP
limit
مع الهدف LOG
لتفعيل التسجيل المقيد.
iplimit
/connlimit
للحصول على المزيد من المعلومات بشأن التطابقات المقيدة بعدد الاتصالات وامتداد التطابق quota
لتقييد حركة المرور الإجمالية.
CONFIG_IP_NF_TARGET_LOG
.
الخيار
|
الوصف
|
---|---|
--log-ip-options
|
إدراج خيارات بروتوكول الإنترنت (IP) في إدخالات السجل.
|
--log-level level
|
إنشاء السجل مع استخدام المستوى المحدد
level (بالرقم أو الإسم). المستوى الافتراضي هو warning . انظر الجدول 1.43, “مستويات التسجيل” للحصول على قائمة أرقام وأسماء مستويات التسجيل (الأسماء المستعملة غير متأثرة بكبر الحروف في iptables).
|
--log-prefix prefix
|
وضع البادئة
prefix في مقدمة إدخالات السجل.
|
--log-tcp-options
|
إدراج خيارات TCP في إدخالات السجل.
|
--log-tcp-sequence
|
إدراج أرقام سلاسل TCP في إدخالات السجل.
|
المستوى
|
الإسم
|
الوصف
|
---|---|---|
0
|
emerg أو panic
|
ثمة شيء ما لا يسير على ما يرام؛ النظام على وشك التوقف.
|
1
|
alert
|
ضرورة إيلاء أهمية شديدة لما يحصل بشكل فوري.
|
2
|
crit
|
خلل عتادي أو برمجي حرج.
|
3
|
err أو error
|
يُستخدَمُ عامة للإشارة إلى الأعطاب العتادية التي تصادفها المشغلات.
|
4
|
warning أو warn
|
شيء ما لا يسير على ما يرام، لكن المشكل عديم الخطورة.
|
5
|
notice
|
ليست هناك أي مشاكل: لا يتعدى الأمر كونه إشعاراً استشارياً.
|
6
|
info
|
معلومات عامة، مثل التقارير المولدة من قبل المشغلات حول العتاد المستخدم.
|
7
|
debug
|
تصحيح الأخطاء.
|
panic
، error
وwarn
لأنها أسماء مهملة (وإن كان iptables لا زال يربط اللفظ المختصر err
بمصطلح error
لأغراض العرض).
kern=info
path
.. إذا قمت باستخدام الخيار --log-level info
، فإن إدخالات التسجيل ستخزن في ملف السجل المتواجد في المسار path
.
ULOG
الذي يوفر وظائف تسجيل أكثر تطوراً.
CONFIG_IP_NF_MATCH_MAC
.
الخيار
|
الوصف
|
---|---|
--mac-source
[!] mac
|
إجراء التطابق عندما يتوافق حقل MAC لإطار إيثرنت مع القيمة
mac . النسق المستخدم هو الآتي: XX : XX : XX : XX : XX : XX ، حيث يعوض كل زوج من نوع XX برقمين ست عشريين.
|
PREROUTING
، FORWARD
أو INPUT
وفقط للحزم الآتية من أجهزة إيثرنت. القاعدة التالية مثلاً لا تسمح إلا لجهاز إيثرنت واحد بالاتصال عبر الواجهة المستخدمة (مثل الواجهة المتصلة بجهاز لاسلكي):
iptables -A PREROUTING -i eth1 -m mac --mac-source ! 0d:bc:97:02:18:21 -j DROP
CONFIG_IP_NF_MATCH_MARK
.
الخيار
|
الوصف
|
---|---|
--mark value [/ mask ]
|
إجراء التطابق إذا كانت علامة الحزمة تحمل القيمة
value بعد تطبيق القناع mask .
|
mask
لمعالجة قيمة توسيم النواة كمجموعة من حقول البتات، حتى وإن كان امتداد الهدف MARK
لا يتوفر على أي قناع
. وبالتالي، فإنك لا تحتاج لضبط حقول البتات بشكل تصاعدي بواسطة iptables.
MARK
.
CONFIG_IP_NF_TARGET_MARK
.
mangle
.
الخيار
|
الوصف
|
---|---|
--set-mark value
|
ضبط علامة الحزمة على القيمة
value .
|
mark
.
TOS
لإنشاء هدف قادر على تزويد الحزم بعلامات حتى تتسنى رؤيتها من قبل الحواسيب الأخرى.
MASQUERADE
لاتصالات TCP وUDP.
CONFIG_IP_NF_TARGET_MASQUERADE
.
الخيار
|
الوصف
|
---|---|
--to-ports p1 [- p2 ]
|
عوض منافذ المصدر المستخدمة للحزم بالمنفذ (أو مجال المنافذ) المحدد.
|
SNAT
إذا كنت تريد استخدام هدف ذو مواصفات مماثلة للاتصالات المتوفرة على عنوان IP ثابت.
-p tcp
أو -p udp
).
CONFIG_IP_NF_MATCH_MULTIPORT
.
الوصف
| |
---|---|
--destination-ports
portspec
|
إجراء التطابق إذا كان منفذ الوجهة واحداً من أسماء أو أرقام المنافذ المدرجة.
|
--dports
|
مرادف لخيار
-destination-ports .
|
--ports portspec
|
إجراء التطابق إذا كان منفذ المصدر أو الوجهة واحداً من أسماء أو أرقام المنافذ المدرجة.
|
--source-ports
portspec
|
إجراء التطابق إذا كان منفذ المصدر واحداً من أسماء أو أرقام المنافذ المدرجة.
|
--sports
|
مرادف لخيار
-source-ports .
|
portspec
, انظر أعلاه) عبارة عن قوائم مفصولة بفواصل. تتضمن هذه القوائم منافذ فردية أو مجالات (مكونة من منفذين مفصولين بنقطة فاصلة) قد يصل عددها إلى 15.
netlink
. يمكنك استخدام هذا الهدف لاستدعاء كودك الخاص لمعالجة الحزم في مساحة المستخدم أو لاستخدام تطبيق خارجي مثل fwmon (انظر http://www.scaramanga.co.uk/fwmon/). الجدول 1.49, “خيارات الهدف NETLINK” يقدم وصفاً لخيارات هذا الهدف.
CONFIG_IP_NF_QUEUE
.
الخيار
|
الوصف
|
---|---|
--nldrop
|
إرسال الحزمة ثم حذفها
|
--nlmark number
|
تزويد الحزمة بالعلامة الرقمية
number .
|
--nlsize size
|
إرسال مقتصر على بايتات السعة (
size ) الأولى للحزمة.
|
iptables -A INPUT -p icmp --icmp-type ping -j NETLINK --nldrop
ULOG
الذي يستخدم مآخذ توصيل netlink للاتصال بمراقب ulogd
المكلف بتسجيل الحزم في مساحة المستخدم.
man 7 netlink
أو man 3 netlink
).
PREROUTING
، أو عنوان مصدر الحزم الخارجة في سلسلة التوجيه اللاحق POSTROUTING
. الجدول 1.50, “خيارات الهدف NETMAP” يقدم وصفاً للخيار الوحيد لهذا الهدف.
CONFIG_IP_NF_TARGET_NETMAP
.
الخيار
|
الوصف
|
---|---|
--to addr [/ mask ]
|
إنشاء اقترانات بين المضيفات والشبكة
addr [/ mask ] .
|
iptables -t nat -A PREROUTING -d 192.168.1.0/24 -j NETMAP --to 172.17.5.0/24 iptables -t nat -A POSTROUTING -s 172.17.5.0/24 -j NETMAP --to 192.168.1.0/24
n
تتوافق مع معايير القاعدة. الجدول 1.51, “خيارات التطابق nth” يقدم وصفاً لخيارات هذا التطابق.
الخيار
|
الوصف
|
---|---|
--counter num
|
استخدم عداد الحزم
num لهذه القاعدة. هناك 16 عداداً للحزم، والقيمة الافتراضية هي الصفر. يمكنك استخدام عدادات حزم مختلفة لدفقات الحزم التي سيطبق عليها امتداد التطابق nth .
|
--every n
|
إجراء التطابق على حزمة واحدة من كل مجموعة حزم عددها
n .
|
--packet num
|
تحديد رقم الحزمة (
num ) التي ستخضع للمطابقة في كل مجموعة حزم عددها n . في حالة استخدامك للخيار --packet ، فإنك ملزم باستعماله في n قاعدة لتغطية الحالات الممتدة من الصفر إلى n - 1. القيمة الافتراضية هي الصفر. لذا، فإن استخدام الخيار --every n يسمح لك بالحصول على الحزمة "صفر" في كل مجموعة مكونة من n حزمة.
|
--start num
|
تشغيل العداد ابتداء من القيمة
num ، بدلاً من الصفر الذي يشكل القيمة الافتراضية.
|
iptables -t nat -A PREROUTING -i eth0 -p udp --dport $PORT -m nth --every 3 --packet 0 -j DNAT --to-destination $SERVER0 iptables -t nat -A PREROUTING -i eth0 -p udp --dport $PORT -m nth --every 3 --packet 1 -j DNAT --to-destination $SERVER1 iptables -t nat -A PREROUTING -i eth0 -p udp --dport $PORT -m nth --every 3 --packet 2 -j DNAT --to-destination $SERVER2
nth
مع الهدف DROP
لمحاكاة ضياع الحزم.
OUTPUT
. لا يصلح هذا الامتداد لحزم ICMP التي لا تتوفر على أي مالك. الجدول 1.52, “خيارات التطابق owner” يقدم وصفاً لخيارات هذا التطابق.
CONFIG_IP_NF_MATCH_OWNER
.
الخيار
|
الوصف
|
---|---|
--cmd-owner cmd
|
إجراء التطابق إذا كانت العملية المُنشِأة هي الأمر
cmd . (هذه الميزة غير مدعومة من قبل كافة الأنوية).
|
--gid-owner gid
|
إجراء التطابق إذا كان
gid هو مُعرِّف المجموعة التي تنتمي إليها العملية المُنشِأة.
|
--pid-owner pid
|
إجراء التطابق إذا كان
pid هو مُعرِّف المجموعة التي تنتمي إليها العملية المُنشِأة.
|
--sid-owner sid
|
إجراء التطابق إذا كان
sid هو مُعرِّف المجموعة التي تنتمي إليها العملية المُنشِأة.
|
--uid-owner uid
|
إجراء التطابق إذا كان
uid هو مُعرِّف المجموعة التي تنتمي إليها العملية المُنشِأة.
|
CONFIG_IP_NF_MATCH_PKTTYPE
.
الوصف
| |
---|---|
--pkt-type [!]
type
|
إجراء التطابق مع الحزم المنتمية للنوع
type الذي يجب أن يكون واحداً من الأنواع المدرجة في الجدول 1.54, “أنواع الحزم”.
|
الإسم
|
الوصف
|
---|---|
bcast
|
مرادف للنوع
broadcast .
|
broadcast
|
عنوان الوجهة عبارة عن عنوان للبث الشبكي (كل بتات المضيف مضبوطة على القيمة 1).
|
host
|
مرادف للنوع
unicast .
|
mcast
|
مرادف للنوع
multicast .
|
multicast
|
عنوان الوجهة عبارة عن عنوان بث متعدد (عنوان ينتمي للمجال المحصور بين 224.0.0.0 و239.255.255.255).
|
unicast
|
عنوان الوجهة عبارة عن عنوان مضيف.
|
POOL
. تتم إدارة المجموعات بواسطة الأمر ippool وملف التهيئة /etc/ippool.conf (اقتران يربط بين أرقام وأسماء المجموعات). هذا الملف ضروري لاستخدام التطابق pool
. الجدول 1.55, “خيارات التطابق pool” يقدم وصفاً لخيارات هذا التطابق.
pool
رقماً لمجموعة معينة أو اسماً مدرجاً في ملف /etc/ippool.conf.
POOL
.
pool
. تتم إدارة المجموعات بواسطة الأمر ippool وملف التهيئة /etc/ippool.conf (اقتران يربط بين أرقام وأسماء المجموعات). هذا الملف ضروري لاستخدام الهدف POOL
. الجدول 1.56, “خيارات الهدف POOL” يقدم وصفاً لخيارات هذا الهدف.
الخيار
|
الوصف
|
---|---|
--add-dstip pool
|
إضافة عنوان وجهة الحزمة إلى
pool .
|
--add-srcip pool
|
إضافة عنوان مصدر الحزمة إلى
pool .
|
--del-dstip pool
|
حذف عنوان وجهة الحزمة من
pool .
|
--del-srcip pool
|
حذف عنوان مصدر الحزمة من
pool .
|
pool
رقماً لمجموعة معينة أو اسماً مدرجاً في ملف /etc/ippool.conf.
pool
.
الخيار
|
الوصف
|
---|---|
--psd-delay-threshold delay
|
الفاصل الزمني الأقصى (
delay ) بين محاولتي اتصال متتابعتين لاعتبارهما جزءاً من عملية مسح للمنافذ. يحسب هذا الفاصل الزمني بالنبضات، حيث تمثل النبضة الواحدة 1/100 من الثانية في الحالات الاعتيادية، ارتكازاً على القيمة النواتية الثابتة بالهرتز . طالما كانت المدة المستغرقة بين محاولات الاتصالات أصغر من هذا الفاصل، فإن ذلك سيؤدي إلى ارتفاع العداد الخاص بمسح المنافذ. القيمة الافتراضية هي 300.
|
--psd-hi-ports-weight weight
|
الوزن
weight المسند إلى أرقام المنافذ العليا (أو المنافذ المجردة من الامتيازات، ابتداء من الرقم 1024 وما فوقه) لحساب قيم مسح المنافذ. تؤدي كل محاولة اتصال بمنفذ عالٍ إلى رفع العداد وفق الوزن المضبوط. الوزن الافتراضي هو 1.
|
--psd-lo-ports-weight weight
|
الوزن
weight المسند إلى أرقام المنافذ الدنيا (أو المنافذ المتمتعة بامتيازات، ذات الأرقام الأصغر من 1024) لحساب قيم مسح المنافذ. تؤدي كل محاولة اتصال بمنفذ دانٍ إلى خفض العداد وفق الوزن المضبوط. الوزن الافتراضي هو 3.
|
--psd-weight-threshold weight
|
إجراء التطابق إذا كانت قيمة مسح المنافذ أكبر من أو تساوي القيمة
weight . القيمة الافتراضية هي 21.
|
iptables -A INPUT -m psd -j DROP
recent
للاطلاع على طريقة أخرى للكشف عن محاولات الاتصال المعادية.
libipq
. يجب عليك استخدام الوحدة النواتية القابلة للتحميل ip_queue
حتى تتمكن من استخدام الهدف QUEUE
. يتضمن ملف /proc/sys/net/ipv4/ip_queue_maxlen الحد الأقصى لصف الانتظار. ويمكنك الاطلاع على حالة الصف في ملف /proc/net/ip_queue. في حالة عدم توفر أي تطبيق في مساحة المستخدم لمعالجة الصف، فإن الهدف QUEUE
سيكون مكافأ للهدف DROP
.
$PORT
بعد تلقي الحصة $QUOTA
من البايتات:
iptables -A INPUT -p tcp --dport $PORT -m quota --quota $QUOTA -j ACCEPT iptables -A INPUT -p tcp --dport $PORT -j DROP
quota
لا يوفر أي إمكانية لإعادة تصفير الحصة أو ضبطها كقيمة حدية للدفق. انظر التطابق limit
للحصول على المزيد من المعلومات حول القيم الحدية للدفق.
iptables -A INPUT -p icmp --icmp-type ping -m random --average 10 -j DROP
الخيار
|
الوصف
|
---|---|
--hitcount hits
|
إجراء التطابق إذا كان عدد النتائج المُحرَزة لعنوان مصدر الحزمة بقائمة العناوين يعادل القيمة
hits على الأقل. يستخدم هذا التطابق مع الخيار --rcheck أو --update .
|
--name name
|
تحديد قائمة العناوين الحديثة المسماة
name ، والتي يجب استخدامها للمطابقة أو التعديل. القيمة الافتراضية هي DEFAULT .
|
[!] --rcheck
|
إجراء التطابق إذا كان عنوان مصدر الحزمة يتواجد في قائمة العناوين الحديثة التي تم اختيارها.
|
--rdest
|
تخزين عنوان وجهة الحزمة عند استخدام الخيار
--set .
|
[!] --remove
|
إجراء التطابق إذا كان عنوان مصدر الحزمة يتواجد في قائمة العناوين المختارة وحذف عنوان المصدر من القائمة.
|
--rsource
|
تخزين عنوان مصدر الحزمة عند استخدام الخيار
--set .
هذا هو السلوك الافتراضي.
|
--rttl
|
إجراء التطابق فقط عند تواؤم عنوان المصدر مع مدة حياة الحزمة
--set الأصلية والحزمة الحالية. نظام التطابق القوي هذا يجعل من الصعب بالنسبة لأي طرف ثالث أن يرسل حزماً مزيفة المصدر. يستخدم هذا التطابق مع الخيارين --rcheck أو --update .
|
--seconds secs
|
إجراء التطابق إذا كان آخر طابع زمني مرافق لعنوان مصدر الحزمة بقائمة العناوين الحديثة يتواجد ضمن نطاق الثواني
secs . يستخدم هذا التطابق مع الخيارين --rcheck أو --update .
|
[!] --set
|
إضافة عنوان مصدر الحزمة إلى قائمة العناوين المحددة.
|
[!] --update
|
إجراء التطابق إذا كان عنوان مصدر الحزمة يتواجد في قائمة العناوين المختارة وتحديث الطابع الزمني المرافق لعنوان المصدر في القائمة.
|
imap
) وحذف أي حزم آتية من هذه العناوين، يمكنك استخدام القواعد التالية:
iptables -A PREROUTING -p tcp --dport imap -m recent --name BADGUY --set iptables -A PREROUTING -m recent --name BADGUY --seconds 60 -j DROP
psd
للاطلاع على طريقة أخرى للكشف عن محاولات الاتصال المعادية. يمكنك استخدام امتداد التطابق psd
مع الخيار الخاص --set
لإنشاء قائمة عناوين مرتكزة على الكشف عن عمليات مسح المنافذ.
portmapper
RPC. يمكنك الاستفادة من هذا التطابق لتصفية بيانات RPC الزائفة. ليست هناك أي خيارات لهذا الهدف.
portmapper
في نظامك.
CONFIG_IP_NF_TARGET_REDIRECT
.
PREROUTING
وOUTPUT
بجدول nat
.
الخيار
|
الوصف
|
---|---|
--to-ports p1 [- p2 ]
|
تعديل يشمل أيضاً منفذ الوجهة، حيث يتم ضبطه على قيمة محصورة بين
p1 وp2 (مجال مغلق)، أو على القيمة p1 لوحدها في حالة ما لم تحدد القيمة p2 .
في الحالة الافتراضية، لا يخضع منفذ الوجهة لأي تعديل.
|
DNAT
للاطلاع على عمليات أكثر تعقيداً لتعديل عنوان الوجهة.
DROP
ملائماً في معظم الأحيان للتخلص من الحزم الوافدة من الخارج، فإنك قد تريد استخدام الهدف REJECT
للحزم المحلية لتسهيل إصلاح أعطاب الشبكة. الجدول 1.63, “خيارات الهدف REJECT” يقدم وصفاً للخيار الوحيد لهذا الهدف.
CONFIG_IP_NF_TARGET_REJECT
.
INPUT
، FORWARD
وOUTPUT
.
الخيار
|
الوصف
|
---|---|
--reject-with
type
|
إرسال جواب رفض من نوع ICMP أو TCP حسب قيمة
type وحذف الحزمة. انظر الجدول 1.64, “أنواع رفض الهدف REJECT” للاطلاع على قائمة أنواع الرفض.
|
النوع
icmp-port-unreachable
بشكل افتراضي إذا لم يستعمل الخيار --reject-with
.
الوصف
| |
---|---|
host-prohib
|
مرادف للنوع
icmp-host-prohibited .
|
host-unreach
|
مرادف للنوع
icmp-host-unreachable .
|
icmp-host-prohibited
|
إرسال رد ICMP من نوع "مضيف محظور".
|
icmp-host-unreachable
|
إرسال رد ICMP من نوع "لا يمكن الوصول إلى المضيف".
|
icmp-net-prohibited
|
إرسال رد ICMP من نوع "شبكة محظورة".
|
icmp-net-unreachable
|
إرسال رد ICMP من نوع "لا يمكن الوصول إلى الشبكة".
|
icmp-port-unreachable
|
إرسال رد ICMP من نوع "لا يمكن الوصول إلى المنفذ".
|
icmp-proto-unreachable
|
إرسال رد ICMP من نوع "لا يمكن الوصول إلى البروتوكول".
|
net-prohib
|
مرادف للنوع
icmp-net-prohibited .
|
net-unreach
|
مرادف للنوع
icmp-net-unreachable .
|
port-unreach
|
مرادف للنوع
icmp-port-unreachable .
|
proto-unreach
|
مرادف للنوع
icmp-proto-unreachable .
|
tcp-reset
|
إرسال رد إعادة تعيين TCP (مع مؤشر
RST مفعل). للاستخدام كرد على حزم TCP فقط.
|
DROP
الذي لا يرسل أي رد.
ACCEPT
، لكنه مصمم للسلاسل المحددة من قبل المستخدم. يقوم هذا الهدف بإعادة التحكم إلى سلسلة النداء (تلك التي استخدمت -j
للوصول إلى السلسلة الحالية).
ACCEPT
.
PREROUTING
التابعة لجدول mangle
. الجدول 1.65, “خيارات الهدف ROUTE” يقدم وصفاً لخيارات هذا الهدف.
الخيار
|
الوصف
|
---|---|
--iface name
|
إرسال الحزمة انطلاقاً من الواجهة
name .
|
--ifindex index
|
إرسال الحزمة انطلاقاً من الواجهة المزودة بالرقم
index (بالارتكاز على التسلسل الموضح في proc/net/dev/).
|
eth2
بواسطة الأمر الآتي:
iptables -t mangle -A PREROUTING ... -j ROUTE --iface eth2
SNAT
. لكن، في حالة توفر أكثر من عنوان مصدر واحد، فإنه يحاول استخدام عنوان مصدر موحد لكافة الاتصالات التي تطلب عنوان وجهة واحد. الجدول 1.66, “خيارات الهدف SAME” يقدم وصفاً لخيارات هذا الهدف.
الخيار
|
الوصف
|
---|---|
--nodst
|
لا تأخذ عنوان IP للوجهة بعين الاعتبار عند اختيار عنوان المصدر الذي سيستخدم لربط أول اتصال بعنوان وجهة معين.
|
--to a1 - a2
|
تحديد عنوان أو عناوين المصدر التي سيتم استخدامها. من الممكن استخدام هذا الخيار أكثر من مرة واحدة لتحديد مجالات عناوين متعددة.
|
SNAT
.
الخيار
|
الوصف
|
---|---|
--to-source
a1 [- a2 ][: p1 - p2 ]
|
تعويض عنوان IP لمصدر الحزمة بالعنوان المحدد (وتعديل المنافذ بشكل اختياري لبروتوكولات UDP وTCP). من الممكن استخدام هذا الخيار أكثر من مرة واحدة لتحديد مجالات عناوين متعددة.
|
SNAT
بتوزيع الاتصالات على العناوين المذكورة. يمكنك أيضاً تحديد مجال يضم أرقام المنافذ التي تريد تخصيصها لترجمة عناوين المصدر. ما لم يذكر غير ذلك، فإن iptables يستعمل المنافذ الشاغرة في النطاق 1–511 إذا كان منفذ pre-NAT يتواجد بين 1 و511، والمنافذ الشاغرة بالنطاق 600–1023 إذا كان منفذ pre-NAT يتواجد بين 512 و1023، أو المنافذ الشاغرة في النطاق 1024–65535 إذا كان منفذ pre-NAT يتواجد بين 1024 و65535.
eth0
، وكان متغير البيئة $STATIC
يتضمن عنوان IP الثابت للواجهة eth0 (العنوان المعين من قبل موفر خدمات الإنترنت)، فإنك تستطيع استخدام قاعدة كهذه لتطبيق SNAT
على حركة المرور الخارجة لتظهر كما لو كانت آتية من البوابة:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $STATIC
DNAT
لترجمة عناوين الوجهة.
SAME
.
MASQUERADE
الذي يشكل هدفاً من العيار الثقيل ذو وظائف مشابهة للاتصالات المرتكزة على عناوين IP الديناميكية (والتي قد تتسبب في أعطاب غريبة مع امتداد التطابق SNAT
).
CONFIG_IP_NF_MATCH_STATE
.
الخيار
|
الوصف
|
---|---|
--state
state [,state . . . ]
|
إجراء التطابق إذا كان الاتصال الذي تنتمي له الحزمة واحداً من الحالات المعروضة
state
(انظر أسماء الحالات المعيارية في الجدول 1.10, “حالات تعقب الاتصال”).
|
iptables -A FORWARD -m state --state NEW -i eth0 -j DROP
QUEUE
لتحديد الحزم التي يجب إخضاعها لفحص معمق في مساحة المستخدم. الجدول 1.69, “خيارات التطابق string” يقدم وصفاً للخيار الوحيد لهذا التطابق.
الخيار
|
الوصف
|
---|---|
--string
[!] string
|
مطابقة الحزم التي تتضمن سلسلة الرموز
string .
|
.pif
في مساحة المستخدم لفحصها فيما بعد بواسطة نظام اكتشاف الاقتحامات، فعليك باستخدام الأمر الآتي:
iptables -A INPUT -m string --string .pif -j QUEUE
.p
وتبدأ فيه الحزمة الثانية بحرفي if
.
-p tcp
الجدول 1.70, “خيارات التطابق tcp” يقدم وصفاً لخيارات هذا التطابق، بينما يعرض الجدول 1.71, “مؤشرات بروتوكول TCP” مؤشرات بروتوكول TCP.
الوصف
| |
---|---|
--destination-port
|
مرادف للخيار
--dport .
|
--dport [!] port [: port ]
|
إجراء التطابق عندما يكون رقم منفذ وجهة TCP معادلاً للقيمة
port (إذا حُدِّد منفذ واحد فقط) أو عندما يكون الرقم منتمياً لمجال مغلق (إذا حُدِّد المَنْفذَين معاً).
يمكنك تحديد المنافذ عبر أسماء (انطلاقاً من ملف /etc/servicesفي نظامك) أو أرقام معينة. انظر الجدول 1.74, “مجالات منافذ TCP” للاطلاع على مجالات المنافذ العالية المستوى والجدول 1.75, “أرقام منافذ TCP (وUDP) الاعتيادية” للاطلاع على قائمة المنافذ الاعتيادية.
|
--mss value [: value ]
|
مطابقة حزم SYN وACK (انظر الجدول 1.73, “تراكيب مؤشرات TCP إضافية تُعتَبر صالحة من قبل التطابق المعيب”) عندما تكون قيمة حقل MSS (Maximum Segment Size – الحد الأقصى لحجم المقطع) ببروتوكول TCP معادلة للقيمة
value (في حالة توفر قيمة value واحدة) أو عندما تكون منتميةً لمجال مغلق معين (في حالة توفر قيمتين حَدِّيتين من نوع value ).
انظر أيضاً امتداد التطابق
tcpmss .
|
--source-port
|
مرادف للخيار
--sport .
|
--sport
[!] port[:port]
|
إجراء التطابق عندما يكون منفذ مصدر TCP معادلاً للقيمة
port (إذا حُدِّد منفذ واحد فقط) أو عندما يكون الرقم منتمياً لمجال مغلق (إذا حُدِّد المَنْفذَين معاً).
يمكنك تحديد المنافذ عبر أسماء (انطلاقاً من ملف /etc/servicesفي نظامك) أو أرقام معينة. انظر الجدول 1.75, “أرقام منافذ TCP (وUDP) الاعتيادية” للاطلاع على مجالات المنافذ العالية المستوى والجدول 1.76, “خيارات التطابق tcpmss” للاطلاع على قائمة المنافذ الاعتيادية.
|
[!] --syn
|
مرادف للخيار
--tcp-flags SYN,RST,ACK SYN . تسمى الحزم الخاضعة لهذا التطابق بحزم "SYN" (انظر أيضاً الجدول 1.73, “تراكيب مؤشرات TCP إضافية تُعتَبر صالحة من قبل التطابق المعيب”).
يمكنك استخدام هذا الخيار لإنشاء قواعد تتكلف بصد الاتصالات الداخلة مع إجازة الاتصالات الخارجة.
|
--tcp-flags
[!] mask comp
|
فحص مؤشرات القناع
mask والاقتصار على إجراء التطابق عندما تكون مؤشرات comp مضبوطة.
الوسيطان
mask وcomp قد يكونان عبارة عن قوائم تتضمن أسماء المؤشرات (انظر الجدول 1.71, “مؤشرات بروتوكول TCP”)، أو إحدى القيمتين الخاصتين ALL وNONE .
|
--tcp-option
[!] num
|
إجراء التطابق إذا كان خيار TCP
num مضبوطاً.
|
ACK
|
PSH
|
RST
|
SYN
|
FIN
|
الوصف
| |
---|---|---|---|---|---|---|
•
|
الخطوة الأولى لإنشاء اتصال TCP (والتي تطلق عليها تسمية "المصافحة الثلاثية"). يتعلق الأمر بحزمة من نوع SYN.
| |||||
•
|
•
|
الخطوة الثانية لإنشاء اتصال TCP، مع تأكيد استلام حزمة
SYN الأولية وإرسال حزمة SYN تبادلية. يتعلق الأمر بحزمة من نوع SYN/ACK.
| ||||
•
|
الخطوة الثالثة والنهائية لإنشاء اتصال TCP. تأكيد استلام الحزمة
SYN/ACK . يتعلق الأمر بحزمة من نوع ACK.
| |||||
•
|
بدء إعادة الضبط.
| |||||
•
|
•
|
تأكيد استلام
RST .
| ||||
•
|
•
|
تأكيد استلام
FIN .
|
URG
|
ACK
|
PSH
|
RST
|
SYN
|
FIN
|
---|---|---|---|---|---|
•
|
•
| ||||
•
|
•
|
•
| |||
•
|
•
|
•
| |||
•
|
•
| ||||
•
|
•
|
•
| |||
•
|
•
|
•
| |||
•
|
•
|
•
|
•
|
إلى
|
الوصف
| |
---|---|---|
0
|
1023
|
تنتمي هذه المنافذ "المعروفة" إلى مجال تُخصِّصُه معظم الأنظمة للعمليات المُميَّزة فقط. وتتولى هيئة الإنترنت المعنية بالأرقام المخصصة (IANA) تنسيق الاقترانات القائمة بين أسماء الخدمات وأرقام المنافذ في هذا المجال.
|
1024
|
49151
|
تنتمي هذه المنافذ "المُسجَّلة" إلى مجال يُسمح عموماً باستخدامه من قبل عمليات المستخدم الاعتيادية. وتتولى هيئة الإنترنت المعنية بالأرقام المخصصة (IANA) تحديث الاقترانات القائمة بين أسماء الخدمات المسجلة وأرقام المنافذ في هذا المجال، لكنها لا تملك أي سلطة تذكر على التعيينات المحددة.
|
49152
|
65535
|
يتعلق الأمر بأرقام منافذ "ديناميكية" أو "خاصة" لا تخضع لأي رقابة أو تسجيل من قبل هيئة IANA.
|
المنفذ
|
الإسم
|
UDP
|
TCP
|
الوصف
|
---|---|---|---|---|
7
|
echo
|
•
|
•
|
بروتوكول الصدى (RFC 862)
|
9
|
discard
|
•
|
•
|
بروتوكول التجاهل (RFC 863)
|
13
|
daytime
|
•
|
•
|
البروتوكول النهاري (RFC 867)
|
19
|
chargen
|
•
|
•
|
بروتوكول مولد الرموز (RFC 864)
|
20
|
ftp-data
|
•
|
بروتوكول نقل الملفات (دفق البيانات)
| |
21
|
ftp
|
•
|
بروتوكول نقل الملفات (دفق التحكم)
| |
22
|
ssh
|
•
|
الصدفة الآمنة (Secure Shell)
| |
23
|
telnet
|
•
|
بروتوكول telnet (RFC 854)
| |
25
|
smtp
|
•
|
بروتوكول نقل البريد البسيط (SMTP)
| |
37
|
time , timeserver
|
•
|
•
|
بروتوكول الوقت (RFC 854)
|
53
|
domain
|
•
|
•
|
خدمة اسم النطاق (DNS – Domain Name Service)
|
67
|
bootps
|
•
|
•
|
خادم BOOTP
|
68
|
bootpc
|
•
|
•
|
عميل BOOTP
|
69
|
tftp
|
•
|
•
|
بروتوكول نقل الملفات المبسط (TFTP – Trivial File Transfer Protocol)
|
80
|
http
|
•
|
بروتوكول نقل النص الفائق (HTTP – Hypertext Transfer Protocol)
| |
109
|
pop2
|
•
|
بروتوكول مكتب البريد (POP – Post Office Protocol)، الإصدار رقم 2
| |
110
|
pop3
|
•
|
بروتوكول مكتب البريد (POP – Post Office Protocol)، الإصدار رقم 3
| |
111
|
sunrpc ,
portmapper
|
•
|
•
|
مخطط منافذ RPC (RFC 1050)
|
119
|
nntp
|
•
|
بروتوكول نقل أخبار الشبكة (NNTP – Network News Transfer Protocol)
| |
123
|
ntp
|
•
|
بروتوكول وقت الشبكة (NTP – Network Time Protocol)
| |
135
|
•
|
•
|
مايكروسوفت: مدير DHCP، نسخ WINS المتماثل، مستخدم Exchange الرئيسي، RPC لخادم Exchange
| |
137
|
•
|
•
|
مايكروسوفت: التصفح، نسخ WINS المتماثل
| |
138
|
•
|
مايكروسوفت: التصفح، نسخ الدلائل المتماثل
| ||
139
|
•
|
مايكروسوفت: تشارك الملفات (CIFS/SMB) وخدمة الطباعة، نسخ الدلائل المتماثل، عارض الأحداث، سلسلة التسجيل، مراقب الأداء
| ||
143
|
imap
|
•
|
بروتوكول الوصول لرسائل الإنترنت (IMAP – Internet Mail Access Protocol)
| |
161
|
snmp
|
•
|
بروتوكول إدارة الشبكات البسيط (SNMP – Simple Network Management Protocol)
| |
179
|
bgp
|
•
|
•
|
بروتوكول البوابة الحدودية (BGP – Border Gateway Protocol)
|
194
|
irc
|
•
|
المحادثة المنقولة بالإنترنت (IRC – Internet Relay Chat)
| |
389
|
ldap
|
•
|
بروتوكول الوصول إلى الدليل الخفيف الوزن (LDAP – Lightweight Directory Access Protocol)
| |
443
|
https
|
•
|
HTTP عبر SSL
| |
515
|
printer
|
•
|
المخزن المؤقت للطابعة الداعم لأنظمة يونكس
| |
563
|
nntps
|
•
|
NNTP عبر SSL
| |
631
|
ipp
|
•
|
بروتوكول الطباعة عبر الإنترنت (IPP – Internet Printing Protocol)
| |
636
|
ldaps
|
•
|
LDAP عبر SSL
| |
873
|
rsync
|
•
|
Rsync (انظر http://rsync.samba.org)
| |
993
|
imaps
|
•
|
IMAP عبر SSL
| |
995
|
pop3s
|
•
|
الإصدار الثالث من بروتوكول POP عبر SSL
| |
1494
|
•
|
مايكروسوفت: ICA (سيتريكس)
| ||
2049
|
nfs , nfsd
|
•
|
•
|
نظام ملف الشبكة (NFS – Network File System)
|
3389
|
•
|
مايكروسوفت: RDP (بروتوكول سطح المكتب البعيد)
|
SYN
أو SYN/ACK
. الجدول 1.76, “خيارات التطابق tcpmss” يقدم وصفاً للخيار الوحيد لهذا التطابق.
CONFIG_IP_NF_MATCH_TCPMSS
.
iptables ... -j TCPMSS --clamp-mss-to-pmtu
CONFIG_IP_NF_TARGET_TCPMSS
.
الخيار
|
الوصف
|
---|---|
--set-mss القيمة
|
ضبط الحد الأقصى لحجم المقطع (MSS) على القيمة
value بشكل إجباري.
|
--clamp-mss-to-pmtu
|
ضبط الحد الأقصى لحجم المقطع (MSS) بشكل إجباري على قيمة تقل بأربعين بايتاً عن وحدة PMTU (Path Maximum Transmission Unit).
|
--mss
لامتداد التطابق tcp
tcpmss
.
الخيار
|
الوصف
|
---|---|
--timestart value
|
الوسيط
value متوفر بصيغة الأربع وعشرين ساعة HH : MM
|
--timestop value
|
الوسيط
value متوفر بصيغة الأربع وعشرين ساعة HH : MM
|
--days list
|
الوسيط
list عبارة عن قائمة مفصولة بفواصل تتضمن إحدى القيم التالية (مع تمييز حالة الأحرف): Sun ، Mon ، Tue ، Wed ، Thu ، Fri وSat .
|
CONFIG_IP_NF_MATCH_TOS
.
الوصف
| |
---|---|
[!] --tos tos
|
إجراء التطابق إذا كان حقل نوع الخدمة في رأس IP يتطابق مع الإسم أو الرقم
tos . انظر الجدول 1.34, “قيم ToS في الإصدار الرابع من بروتوكول الإنترنت” للاطلاع على قائمة أنواع خدمة IP.
|
FTOS
.
TOS
.
mangle
. الجدول 1.80, “خيارات الهدف TOS” يقدم وصفاً للخيار الوحيد لهذا الهدف.
CONFIG_IP_NF_TARGET_TOS
.
الخيار
|
الوصف
|
---|---|
--set-tos tos
|
ضبط حقل ToS في رأس IP لتحقيق التطابق مع الإسم أو الرقم
tos . انظر الجدول 1.34, “قيم ToS في الإصدار الرابع من بروتوكول الإنترنت” للاطلاع على قائمة أنواع خدمة IP.
|
tos
.
FTOS
.
CONFIG_IP_NF_MATCH_TTL
.
الوصف
| |
---|---|
--ttl ttl
|
مرادف للخيار
--ttl-eq .
|
--ttl-eq ttl
|
إجراء التطابق إذا كانت مدة حياة الحزمة تعادل القيمة
ttl . تظهر هذه المعلومة في خرج الأمر iptables-store ، بغض النظر عما إذا تم استخدام --ttl أو --ttl-eq خلال إضافة القاعدة.
|
--ttl-gt ttl
|
إجراء التطابق إذا كانت مدة حياة الحزمة أكبر من القيمة
ttl .
|
--ttl-lt ttl
|
إجراء التطابق إذا كانت مدة حياة الحزمة أصغر من القيمة
ttl .
|
iptables -A FORWARD -m ttl --ttl-gt 100 -j LOG
TTL
.
mangle
. يمكنك استخدام الهدف TTL لإخفاء البوابة/الجدار الناري من فحوصات traceroute، وذلك عبر الرفع من مدة حياة (TTL) الحزم العابرة للجدار الناري.
iptables -t mangle -A OUTPUT -j TTL --ttl-inc 1
الخيار
|
الوصف
|
---|---|
--ttl-dec amount
|
تقليص مدة حياة الحزمة وفق القيمة
amount (والتي يجب أن تكون أكبر من الصفر).
|
--ttl-inc amount
|
إطالة مدة حياة الحزمة وفق القيمة
amount (والتي يجب أن تكون أكبر من الصفر).
|
--ttl-set ttl
|
تعويض مدة حياة الحزمة بالقيمة
ttl .
|
iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
ttl
.
-p udp
. الجدول 1.83, “خيارات التطابق udp” يقدم وصفاً لخيارات هذا التطابق.
الخيار
|
الوصف
|
---|---|
--destination-port
port [: port ][!]
|
إجراء التطابق عندما يكون رقم منفذ وجهة UDP معادلاً للقيمة
port (إذا حُدِّد منفذ واحد فقط) أو عندما يكون الرقم منتمياً لمجال مغلق (إذا حُدِّد المَنْفذَين معاً).
يمكنك تحديد المنافذ عبر أسماء (انطلاقاً من ملف /etc/services في نظامك) أو أرقام معينة. انظر الجدول 1.75, “أرقام منافذ TCP (وUDP) الاعتيادية” للاطلاع على مجالات المنافذ العالية المستوى والجدول 1.76, “خيارات التطابق tcpmss” للاطلاع على قائمة المنافذ الاعتيادية.
|
--dport
|
مرادف للخيار
--destination-port .
|
--source-port
[!] port[:port]
|
إجراء التطابق عندما يكون منفذ مصدر UDP معادلاً للقيمة
port (إذا حُدِّد منفذ واحد فقط) أو عندما يكون الرقم منتمياً لمجال مغلق (إذا حُدِّد المَنْفذَين معاً).
يمكنك تحديد المنافذ عبر أسماء (انطلاقاً من ملف /etc/servicesفي نظامك) أو أرقام معينة. انظر الجدول 1.75, “أرقام منافذ TCP (وUDP) الاعتيادية” للاطلاع على مجالات المنافذ العالية المستوى والجدول 1.76, “خيارات التطابق tcpmss” للاطلاع على قائمة المنافذ الاعتيادية.
|
--sport
|
مرادف للخيار
--source-port .
|
LOG
وآلية التسجيل syslog، بما في ذلك تسجيل الحزم في قاعدة بيانات MySQL. الجدول 1.84, “خيارات الهدف ULOG” يقدم وصفاً لخيارات هذا الهدف.
CONFIG_IP_NF_TARGET_ULOG
وCONFIG_IP_NF_QUEUE
.
الوصف
| |
---|---|
--ulog-cprange size
|
تسجيل بايتات السعة
size الخاصة بكل حزمة.
|
--ulog-nlgroup
nlgroup
|
تسجيل القيمة الرقمية
nlgroup في المجموعة NETLINK. من الضروري أن تتلاءم هذه القيمة مع إعدادات المُراقِب ulogd المُشغَّل (غالباً ما تتواجد الإعدادات في الملف /etc/ulogd.conf).
|
--ulog-prefix
prefix
|
وضع البادئة
prefix في مقدمة كل رسالة من رسائل السجل.
|
--ulog-qthreshold
threshold
|
وضع الحد المسموح به من الحزم
threshold في صف الانتظار قبل إرسال الحزم إلى ulogd . القيمة الافتراضية هي 1، والقيمة القصوى هي 50.
|
LOG
للتسجيل البسيط
netlink
CONFIG_IP_NF_MATCH_UNCLEAN
.