Nächste Seite: Filterregeln testen
Aufwärts: IP Firewall Chains: Regelketten
Vorherige Seite: Regelketten anzeigen, entleeren, Zähler
Unterabschnitte
Pakete lassen sich mit einem 32-Bit Wert (unsigned) markieren, um sie
später einer speziellen Behandlung zu unterziehen. Die Weiterverarbeitung
von markierten Paketen ist allerdings zur Zeit noch nicht implementiert.
- ipchains -A chain rule ... -l
protokolliert über den Syslog-Daemon mit, wenn auf ein Paket die genannte
Filterregel rule zutrifft. Der Syslog-Daemon liefert die
Information unter facility=kern, level=info.
Die TOS-Flags im IP-Header erlauben, die einzelnen Pakete nach ihrer
Verwendung zu qualifizieren. In diesem Zusammenhang taucht auf der Begriff
''Quality of Service'' auf, der dann allerdings nicht rein auf das
IP-Protokoll fixiert ist.
TOS kennt vier Flags:
- Minimize delay: 0x10
- Maximize troughput: 0x08
- Maximize reliability: 0x04
- Minimize monetary cost: 0x02
Die Flags werden bei den Filterregeln mit der Option -t angegeben:
- ipchains -A chain -p TCP -d 0/0 port -t fl_and fl_xor
Das TOS-Feld des Headers wird zuerst mit dem ersten Feld (fl_and)
und dann mit den zweiten Feld (fl_xor) XOR-verknüpft. Da zur Zeit
im Kernel nur ein TOS-Flag gesetzt sein darf, sieht die TOS-Spezifikation
so aus:
- ipchains -A chain -p TCP -d 0/0 port -t 0x01 tos-flag
Das erste Feld löscht alle Einträge bis auf das Bit 0, dann wird mit dem
zweiten Feld das TOS-Flag gesetzt.
Nächste Seite: Filterregeln testen
Aufwärts: IP Firewall Chains: Regelketten
Vorherige Seite: Regelketten anzeigen, entleeren, Zähler
Wolfgang Barth
2002-11-17