Кроме того, функция mangle используется для изменения некоторых полей в заголовке IP, таких как поля TOS (DSCP) и TTL.
Свойства
Свойство | Описание |
action ( название действия ; по умолчанию: accept) |
Действие, которое необходимо предпринять, если пакет соответствует правилу:
|
address-list ( строка ; По умолчанию:) |
Имя используемого списка адресов. Применимо, если действие есть add-dst-to-address-list или add-src-to-address-list |
address-list-timeout (none-dynamic | none-static | time; по умолчанию: none-dynamic) |
Временной интервал, по истечении которого адрес будет удален из списка адресов, заданного address-list параметром. Используется вместе с add-dst-to-address-list или add-src-to-address-list действиями
|
chain ( имя ; По умолчанию:) |
Указывает, в какую цепочку будет добавлено правило. Если входные данные не соответствуют имени уже определенной цепочки, будет создана новая цепочка. |
comment ( строка ; По умолчанию:) |
Описательный комментарий к правилу. |
connection-bytes ( целое-целое ; по умолчанию:) |
Соответствует пакетам только в том случае, если заданное количество байтов было передано через конкретное соединение. 0 - означает бесконечность, например connection-bytes=2000000-0 означает, что правило соответствует, если более 2 МБ (загрузка и загрузка) было передано через соответствующее соединение |
connection-limit ( целое число, сетевая маска ; По умолчанию :) |
Сопоставляет соединения по адресу или блоку адресов после достижения заданного значения. |
connection-mark ( без метки | строка ; По умолчанию:) |
Соответствует пакетам, помеченным через средство mangle с определенной меткой соединения. Если установлен no-mark , правило будет соответствовать любому немаркированному соединению. |
connection-nat-state ( srcnat | dstnat ; По умолчанию :) |
Может соответствовать соединениям, которые являются srcnatted, dstnatted или обоими. Обратите внимание, что connection-state = related connections connection-nat-state определяется направлением первого пакета. и если для отслеживания соединения необходимо использовать dst-nat для доставки этого соединения на те же хосты, что и основное соединение, оно будет в connection-nat-state = dstnat, даже если правила dst-nat отсутствуют. |
connection-rate ( целое число 0..4294967295 ; по умолчанию :) |
Скорость соединения - это средство сопоставления брандмауэра, которое позволяет перехватывать трафик на основе текущей скорости соединения. |
connection-state estabilished | invalid | new | related; по умолчанию:) |
Интерпретирует данные анализа отслеживания соединений для конкретного пакета:
|
connection-type ( ftp | h323 | irc | pptp | quake3 | sip | tftp ; по умолчанию :) |
Сопоставляет пакеты от связанных подключений на основе информации от их помощников по отслеживанию подключений. Соответствующий помощник по подключению должен быть включен в / ip firewall service-port |
content ( строка ; По умолчанию:) |
Соответствовать пакетам, содержащим указанный текст |
dscp ( целое число: 0..63 ; по умолчанию :) |
Соответствует полю IP-заголовка DSCP. |
dst-adress ( IP / маска сети | диапазон IP ; По умолчанию:) |
Соответствует пакетам, в которых пункт назначения равен указанному IP или попадает в указанный диапазон IP. |
dst-address-list ( имя ; По умолчанию:) |
Сопоставляет адрес назначения пакета с заданным пользователем списком адресов |
dst-address-type ( unicast | local | broadcast | multicast ; По умолчанию:) |
Соответствует типу адреса назначения:
|
dst-limit ( integer [/ time], integer, dst-address| dst-port | src-address [/ time] ; по умолчанию:) |
Сопоставляет пакеты до тех пор, пока не будет превышен заданный предел количества пакетов в секунду. В отличие от сопоставителя пределов , каждый IP-адрес / порт назначения имеет собственное ограничение. Параметры записываются в следующем формате: count[/time],burst,mode[/expire].
|
dst-port ( целое [-integer]: 0..65535 ; по умолчанию :) |
Список номеров портов назначения или диапазонов номеров портов |
fragment ( да | нет ; по умолчанию:) |
Соответствует фрагментированным пакетам. Первый (начальный) фрагмент не в счет. Если включено отслеживание соединений, фрагментов не будет, так как система автоматически собирает каждый пакет |
hotspot ( auth | from-client | http | local-dst | to-client ; По умолчанию:) |
Сопоставляет пакеты, полученные от клиентов HotSpot, с различными сопоставителями HotSpot.
|
icmp-options ( целое: целое ; по умолчанию:) |
Соответствует полям ICMP "тип: код" |
in-bridge-port ( имя ; По умолчанию:) |
Фактический интерфейс: пакет вошел в маршрутизатор, если входящий интерфейс является мостом. |
in-interface ( имя ; По умолчанию:) |
Интерфейс пакет попал в роутер |
ingress-priority (входящий приоритет) ( целое число: 0..63 ; по умолчанию :) |
Соответствует входящему приоритету пакета. Приоритет может быть получен из бита VLAN, WMM или MPLS EXP. |
ipsec-policy ( in | out, ipsec | none; по умолчанию :) |
Соответствует политике, используемой IpSec. Значение записывается в следующем формате: direction, policy. Направление используется для выбора соответствия политике, используемой для декапсуляции, или политике, которая будет использоваться для инкапсуляции.
Например, если маршрутизатор получает пакет Gre, инкапсулированный в Ipsec, то правило ipsec-policy=in,ipsecбудет соответствовать пакету Gre, но правило ipsec-policy=in,noneбудет соответствовать пакету ESP. |
ipv4-options ( любой | свободная маршрутизация-источник | маршрут без записи | предупреждение об отсутствии маршрутизатора | маршрутизация без источника | без отметки времени | нет | маршрут записи | предупреждение маршрутизатора | строгая маршрутизация от источника | отметка времени ; По умолчанию:) |
Соответствует параметрам заголовка IPv4.
|
jump-target ( имя ; По умолчанию:) | Имя целевой цепочки, к которой нужно перейти. Применимо, только еслиaction=jump |
Layer7-protocol ( имя ; По умолчанию :) |
Имя фильтра Layer7 определено в меню протокола Layer7 . |
limit ( целое, время, целое ; по умолчанию:) |
Сопоставляет пакеты до тех пор, пока не будет превышен заданный предел количества пакетов в секунду. Параметры записываются в следующем формате: count[/time],burst.
|
log-prefix ( строка ; По умолчанию:) |
Добавляет указанный текст в начало каждого сообщения журнала. Применимо, еслиaction=log |
new-connection-mark ( строка ; По умолчанию:) | |
new-dscp ( целое число: 0..63 ; по умолчанию :) |
Устанавливает новое значение DSCP для пакета. |
new-mss ( целое ; по умолчанию :) |
Устанавливает новый MSS для пакета. Параметр clip-to-pmtu динамически устанавливает размер MSS в соответствии с MTU пути. |
new-packet-mark ( строка ; По умолчанию:) |
|
new-priority ( integer | from-dscp | from-dscp-high-3-bits | from-ingress ; По умолчанию :) |
Устанавливает новый приоритет для пакета. Это может быть приоритет VLAN, WMM, DSCP или MPLS EXP. Это свойство также можно использовать для установки внутреннего приоритета. |
new-routing-mark ( строка ; По умолчанию:) |
|
new-ttl ( декремент | инкремент | набор: целое число; по умолчанию:) |
|
nth ( целое; целое ; по умолчанию:) |
Соответствует каждому n-му пакету. |
out-bridge-port ( имя ; По умолчанию:) |
Фактический интерфейс: пакет покидает маршрутизатор, если исходящий интерфейс является мостом. |
out-interface (; По умолчанию: ) |
Интерфейс, пакет покидает маршрутизатор |
packet-mark ( без метки | строка ; по умолчанию:) |
Соответствует пакетам, помеченным с помощью средства mangle с определенной меткой пакета. Если установлен no-mark , правило будет соответствовать любому немаркированному пакету. |
packet-size ( целое [-integer]: 0..65535 ; по умолчанию :) |
Соответствует пакетам указанного размера или диапазона размеров в байтах. |
passthrough ( да | нет ; по умолчанию: да ) |
разрешать ли пакету проходить дальше (например, сквозное действие) в брандмауэр или нет (свойство допустимо только для некоторых действий). |
per-connection-classifier ( ValuesToHash: знаменатель / остаток ; по умолчанию :) |
Устройство сопоставления PCC позволяет разделить трафик на равные потоки с возможностью хранить пакеты с определенным набором параметров в одном конкретном потоке. |
port ( integer [-integer]: 0..65535 ; по умолчанию :) |
Соответствует, если какой-либо порт (исходный или целевой) соответствует указанному списку портов или диапазонам портов. Применимо, только если protocolTCP или UDP |
protocol ( имя или идентификатор протокола ; по умолчанию: tcp ) |
Соответствует конкретному IP-протоколу, указанному по имени или номеру протокола |
psd ( целое, время, целое, целое ; По умолчанию:) | Попытки обнаружить сканирование TCP и UDP. Параметры имеют следующий форматWeightThreshold, DelayThreshold, LowPortWeight, HighPortWeight
|
random ( целое число: 1..99 ; по умолчанию :) |
Соответствует пакетам случайным образом с заданной вероятностью. |
routing-mark ( строка ; По умолчанию:) |
Соответствует пакетам, отмеченным функцией mangle, с определенной меткой маршрутизации |
priority ( целое число: 0..63 ; по умолчанию :) |
Соответствует приоритету пакета после установки нового приоритета. Приоритет может быть получен из VLAN, WMM, DSCP, бита MPLS EXP или из внутреннего приоритета, который был установлен с помощью действия set-priority. |
src-ardess ( IP / маска сети, диапазон IP ; по умолчанию :) |
Соответствует пакетам, в которых источник равен указанному IP или попадает в указанный диапазон IP. |
src-address-list ( имя ; По умолчанию:) |
Сопоставляет адрес источника пакета со списком адресов, заданным пользователем |
src-address-type ( unicast | local | broadcast | multicast ; По умолчанию:) |
Соответствует типу адреса источника:
|
src-port ( integer [-integer]: 0..65535 ; по умолчанию :) |
Список исходных портов и диапазоны исходных портов. Применимо, только если протокол TCP или UDP. |
src-mac-address ( MAC-адрес ; по умолчанию:) |
Соответствует исходному MAC-адресу пакета |
tcp-flags ( ack | cwr | ece | fin | psh | rst | syn | urg ; по умолчанию :) |
Соответствует указанным флагам TCP
|
tcp-mss ( integer [-integer]: 0..65535 ; по умолчанию :) |
Соответствует значению TCP MSS IP-пакета |
time ( время-время, сб | пт | чт | ср | вт | пн | вс ; по умолчанию:) |
Позволяет создать фильтр на основе времени и даты прибытия пакетов или, для локально сгенерированных пакетов, времени и даты отправления |
tls-host ( строка ; По умолчанию :) |
Позволяет сопоставить трафик на основе имени хоста TLS. Принимает синтаксис GLOB для сопоставления с подстановочными знаками. Обратите внимание, что средство сопоставления не сможет сопоставить имя хоста, если кадр подтверждения TLS фрагментирован на несколько сегментов (пакетов) TCP. |
ttl ( равно | больше-чем | меньше-чем | не-равно: целое число (0..255) ; по умолчанию :) |
Соответствует значению TTL пакетов. |
Ещё документация во вложении
Comments
And i am glad reading your article. But should observation on some general issues,
The web site taste is ideal, the articles is really excellent : D.
Excellent task, cheers
RSS feed for comments to this post