Nach meinem Verständnis arbeiten iptables auf der Transportschicht (Schicht 4) und jede Paketfilterung basiert auf den IP-Protokollen für Schicht 4 wie TCP und UDP. Wenn wir also Protokolle wie esp, gre und l2tp iniptables -pOption, macht das irgendeinen Sinn? Können wir Pakete basierend auf Layer 2/3-Protokollen mit iptables filtern? Wenn nicht, wie filtert iptables dann Pakete basierend auf ICMP-Protokollen?
Ich bin neu bei iptables und lerne noch. Danke!
Antwort1
iptablesunterstützt Filterung auf Datenverbindungs-, Netzwerk- und Transportebene.
Die -pOption (Protokoll) ist nicht speziell auf Layer 4-Protokolle beschränkt. Diemanpageerwähnt spezifisch icmp und esp. Ich weiß, dass auch gre unterstützt wird (entweder als „gre“ oder als Protokoll „47“). Das angegebene Protokoll kann dieser Option entweder nach Namen oder nach der in angegebenen Ganzzahlnummer übergeben werden /etc/protocols. Ich bin nicht sicher, ob alle Protokolle in dieser Liste von iptables unterstützt werden.
Wenn -p oder --protocol angegeben wurde und genau dann, wenn eine unbekannte Option gefunden wird, versucht iptables, ein passendes Modul mit demselben Namen wie das Protokoll zu laden, um die Option verfügbar zu machen.
Diese „Match-Modul“-Syntax ist das erweiterte Paket-Matching-Modul und würde durch die Verwendung der -m --matchOptionen angegeben werden.
Eine Liste der unterstützten Erweiterungen finden Sie hier:iptables-Erweiterungen. Eine Liste der verfügbaren Netfilter-Kernelmodule finden Sie unter /lib/modules/$(uname -r)/kernel/net/netfilter.