日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

ipfw規(guī)則( 四 )

云知道


匹配ip包的總長度,包括頭和數(shù)據(jù) 。
ipoptions spec
匹配誰的ip頭包含用逗號隔開的設(shè)置,支持以下幾種:
ssrr (strict source route), lsrr (loose source route), rr (record
packet route) and ts (timestamp). 沒有詳細(xì)說明則用"!"表示 。
ipprecedence precedence
匹配有優(yōu)先權(quán)的IP 。
iptos spec
匹配帶有被逗號隔開的服務(wù)類型表的ip,支持以下幾種:
lowdelay (IPTOS_LOWDELAY), throughput (IPTOS_THROUGHPUT),
reliability (IPTOS_RELIABILITY), mincost (IPTOS_MINCOST),
congestion (IPTOS_CE). 沒有詳細(xì)說明則用"!"表示 。
ipttl ttl
匹配ip的存活時間
ipversion ver
匹配ip的版本號
keep-state
在匹配時,防火墻將創(chuàng)建一個動態(tài)規(guī)則,它的默認(rèn)的行為就是去匹配雙向的通信,在源和IP/port使用同樣協(xié)議的的目的地之間 。這個規(guī)則有一定壽命,這個存活時間在每次要匹配的包被找到后重新更新 。
layer2 僅匹配2層的包,例如通過ipfw的從ether_demux() and ether_output_frame().
limit {src-addr | src-port | dst-addr | dst-port} N
防火墻只允許像設(shè)置里的那個數(shù)N連接,一個或多個的源和目的地址都會被定義 。
{ MAC | mac } dst-mac src-mac
匹配帶有MAC的源和目的地址,詳細(xì)的就像一些關(guān)鍵字,或者是6個被逗號隔開的數(shù)字,例如下:
MAC 10:20:30:40:50:60/33 any
注意MAC地址的規(guī)則(目的地第一,源第二)他們同樣也在信息里,只是對應(yīng)的習(xí)慣用IP地址罷 了 。
mac-type mac-type
匹配跟內(nèi)網(wǎng)類型一樣的數(shù)據(jù)包 。mac類型也用同樣的方法被定義就像端口號 。你可用象征的名字為你知道的含義,像vlan, ipv4, ipv6.這個值也可以被直接輸入,像10近制,16近制,他們輸出總是按16近制,除非-N設(shè)置啟用,那么那些符號將被試圖啟用 。
proto protocol
匹配ipv4的通用協(xié)議 。
recv | xmit | via {ifX | if* | ipno | any}
匹配接受的包,分別的轉(zhuǎn)輸或是通過,接口被將由精確的名字(ifX)和設(shè)備名字(if*)所定義,還可以由ip或一些其它的接口定義 。
via這個關(guān)鍵字就是說,所有的接口總是要被檢查的 。如果是recv or xmit取代了via則表示只接受,或只轉(zhuǎn)發(fā),這就有可能匹配包是基于接受和轉(zhuǎn)發(fā)的接口上的 。例如:
ipfw add deny ip from any to any out recv ed0 xmit ed1
recv接口可以測試在通過他們所進(jìn)出的包,所以只要xmit在使用中,出就會被請求(沒有進(jìn)) 。

一個包可以沒有接受或轉(zhuǎn)發(fā)接口:數(shù)據(jù)包從本地主機(jī)出來,是沒有接受接口的,一會兒就回到達(dá)沒有轉(zhuǎn)發(fā)接口的本地主機(jī) 。
setup 匹配只帶SYN字節(jié)不帶ACK字節(jié)的TCP包,
src-ip ip-address
匹配ip包里有源ip在地址列表里的
src-port ports
匹配ip包里有源端口在端口列表里的
tcpack ack
僅TCP包,匹配TCP頭帶有ack字樣的包 。
tcpflags spec
僅TCP包,匹配TCP頭帶有逗號隔開的字樣的包,支持以下幾種:

fin, syn, rst, psh, ack and urg. The absence of a particular
flag may be denoted with a `!". A rule which contains a tcpflags
specification can never match a fragmented packet which has a
non-zero offset. See the frag option for details on matching
fragmented packets.
tcpseq seq
僅TCP包,匹配TCP頭帶號碼區(qū)有seq字樣的包 。
tcpwin win
僅TCP包,匹配TCP頭帶window區(qū)有win字樣的包 。
tcpoptions spec
僅TCP包,匹配TCP頭包含逗號隔開的選想說明,支持以下幾種:

mss (maximum segment size), window (tcp window advertisement),
sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644
t/tcp connection count). 空缺用`!"表示 。
uid user
匹配所有用戶收發(fā)數(shù)據(jù)包,用戶可以由名字或認(rèn)證數(shù)字來匹配 。
SETS OF RULES
每一條規(guī)則都是32不同條例中的其中一個,0-31,31為保留的默認(rèn)規(guī)則 。

推薦閱讀