LINUX iptable应用手册(四

任何有效的dscp筛选条件，都至少要含有上述选项的其中之一，《表23》是各种DSCP分级的说明，《表24》是DSCP值与分级名称的对应关系。








相关参考：

● 《DSCP目标》

●RFC 2474《Definition of the Differentiated Services Field（DS Field）inthe Ipv4 and Ipv6 Headers》（位于http://www.rfc-editor.org/rfc/rfc2474.txt）。

● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。


DSCP目标

设定IPv4包标头里的DSCP栏位值。DSCP栏位是IPv4 header的TOS位元组的重新演绎。《表25》是DSCP目标的选项。


============================
诀窍

本目标必须在核心支援CONFIG_IP_NF_TARGET_DSCP组态时才有效。

============================






任何有效的DSCP目标，都至少要含有上述选项的其中之一。举例来说，若要将所有出境包的DSCP栏位设定为0x0e：
iptables -t mangle -A OUTPUT -j DSCP - -set-dscp 0x0e

相关参考：

● 《dscp过滤条件》

● RFC 2475《An Architecture for Differentiated Service》（位于http://www.rfc-editor.org/rfc/rfc2475.txt）。



ecn过滤条件

以IPv4 header中的Explicit Congestion Notification（ECN）栏位为过滤条件。《表26》说明本过滤条件的选项。


===========================
诀窍

本目标必须在核心支援CONFIG_IP_NF_MATCH_ECN组态时才有效。

===========================






相关参考：

● 《ECN目标》。

● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。

● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。


============================
诀窍

本目标必须在核心支援CONFIG_IP_NF_TARGET_ECN组态时才有效。

============================







相关参考：

● 《ecn过滤条件》。

● RFC 2481《A Proposal to add Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc2481.txt）。

● RFC 3168《The Addition of Explicit Congestion Notification（ECN）to IP》（位于http://www.rfc-editor.org/rfc/rfc3168.txt）。

Esp过滤条件
本扩充模组使iptables可以用IPSec协定的Encapsulating Security Payload(ESP）header的Security Parameters Index（SPI）栏位为过滤条件。目的地位址与SPI栏位共同构成包的SA。使用esp过滤条件之前，必须先以-p载入相关协定（esp或ipv6-crypt）的扩充模组。《表28》说明本过滤条件的唯一选项。


=========================
诀窍

本过滤条件必须在核心支援CONFIG_IP_NF_MATCH_AH_ESP组态时才有效。

=========================






范例：

iptable -A INPUT -p esp -m esp - -espspi 500 -j DROP

关于IPv6协定，请参阅《IPv6 Essentials》 （Silvia Hagen著，O Reilly 出版）相关参考：《ah过滤条件》。



FTOS目标

此目标的作用，是将包的整个Type of Service （ToS）栏位设定为特定值。它不理会ToS栏位的特殊演绎，象是级别服务（Differentiated Services），也不理会ToS各个子栏位的意义。FTOS目标只有一个选项，见《表29》。





举例来说，下列命令将出境包设定为「普通服务」（0x00，对应名称为Normal-Service）：
iptables -t mangle -A OUTPUT -j FTOS - -set-ftos 0


相关参考：

● 《tos过滤条件》

●如果只想影响ToS栏位的子栏位，请参阅《TOS目标》。



helper扩充模组

加载特定协议的联机追踪辅助模组，由该模组过滤所追踪的连线类型之封包。《表30》说明本模组唯一支持的选项。


诀窍

本模组必须在核心支持CONFIG_IP_NF_MATCH_HELPER组态时才有效。






举例来说，若希望IRC通讯(Internet Relay Chat）能通过防火墙，应该使用下列命令戴入irc辅助模组：
iptable -A INPUT -m -helper - -helper irc -j ACCEPT



icmp过滤条件

本扩充摸组使iptables能够以「网际控制讯息协定」（ICMP）特有的资讯为过滤条件。使使用icmp过滤条件之前，必须先用 -p icmp戴入本模组。《图4》是ICMP header的各个栏位。《表31》说明icmp过滤条件的选项。










《表32》正式ICMP协定型别与代码，最新的正式资料在：http://www.iana.org/assignments/icmp-parameters(参考RFC3232《Assigned Numbers：RFC 1700 is Replaced by anOn-lineDatabase》，位于http://www.rfc-editor.org/rfc/rfc3232.txt）。请留心《表32》的「名称」栏，以中文或粗体字型表示的项目，表示你只能以「代码」来表示该项目，而不是名称。








注译：
package ：“封包”或称呼为“包”
filter ： 筛选或 过滤