[ Pobierz całość w formacie PDF ]
.Jeśli zostanie pominięte, przyjmowane jestprawdopodobieństwo 50%.Wartość musi być w przedziale 1-99.3.11 Aata realmAata autorstwa Sampsa Ranta dodaje nowy test, umożliwiającywykorzystanie kluczy sfery (ang.realm) pochodzących z rutingu jako testów podobnych do tych, zklasyfikatora pakietów.Na przykład, by logować wszystkie wychodzące pakiety do sfery 10, możesz napisać:# iptables -A OUTPUT -m realm --realm 10 -j LOG# iptables --listChain OUTPUT (policy ACCEPT)target prot opt source destinationLOG all -- anywhere anywhere REALM match 0xaOpcje dostępne dla testu `realm' to:--realm [!] wartość[/maska]- dopasuj do sfery3.12 Aata record-rpcAata autorstwa Marcelo Barbosa Lima dodaje nowy test,umożliwiający sprawdzanie, czy zródło pakietu żądało tego portu już wcześniej przy użyciuportmapper'a, czy jest to nowe żądanie typu GET do portmapper'a; dzięki temu możliwe jestfiltrowanie wywołań RPC.By użyć śledzenia połączeń RCP, napisz:# iptables -A INPUT -m record_rpc -j ACCEPT# iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- anywhere anywhereTest nie ma żadnych opcji.Nie przejmuj się, że informacje o teście nie są drukowanie.Po prostu funkcja print() tego testu jestpusta:/* Prints out the union ipt_matchinfo.*/static voidprint(const struct ipt_ip *ip,const struct ipt_entry_match *match,int numeric){}3.13 Aata stringAata autorstwa Emmanuela Rogera dodaje nowy test, umożliwiającydopasowywanie ciągów znaków w dowolnym miejscu pakietu.Jeśli na przykład chcesz wyłapywać ciąg znaków `cmd.exe' i kolejkować je do systemu IDS wprzestrzeni użytkownika, napisz:# iptables -A INPUT -m string --string 'cmd.exe' -j QUEUE# iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationQUEUE all -- anywhere anywhere STRING match cmdProszę jednak używać tego testu z uwagą.Wiele ludzi chce użyć tego celu do zatrzymania robaków,używając celu DROP.Jest to poważny błąd i zostanie ominięty przez każdy sposób unikaniawykrycia przez IDS.Wielu ludzi używało tej łaty do powstrzymania pewnych metod HTTP, takich jak POST czy GET,przez odrzucanie każdego pakietu HTTP zawierającego ciąg znaków POST.Proszę zrozumieć, żelepiej tą pracę wykona proxy filtrujące.Co więcej, dokument HTML zawierający słowo POSTrównież zostanie odrzucony.Aatę stworzono aby można było kolejkować ciekawe pakiety doprzestrzeni użytkownika, nic więcej.Opcje dostępne dla testu `string' to: --string [!] ciąg znaków- dopasuj ciąg znaków w pakiecie3.14 Aata timeAata autorstwa Fabrice MARIE dodaje nowy test, pozwalający sprawdzaćpakiety na podstawie czasu ich przyjścia lub opuszczania maszyny.Na przykład, by zaakceptować pakiety które przybywają pomiędzy ósmą rano a osiemnastąwieczorem od poniedziałku do piątku, możesz napisać:# iptables -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue# iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- anywhere anywhere TIME from 8:0 to 18:0 onOpcje dostępne dla testu `time' to: Supported options for the time match are :--timestart value- minimalny czas w formacie HH:MM--timestop value- maksymalny czas w formacie HH:MM--days listofdays- lista dni (ważna wielkość liter)MonTueWedThuFriSatSun3.15 Aata ttlAata autorstwa Haralda Welte dodaje nowy cel, który pozwaladopasowywać pakiet na podstawie jego TTL.Jeśli na przykład chcesz logować pakiety z TTL mniejszym niż 5, napisz:# iptables -A INPUT -m ttl --ttl-lt 5 -j LOG# iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationLOG all -- anywhere anywhere TTL match TTL
[ Pobierz całość w formacie PDF ]