https://www.opennet.me/openforum/vsluhforumID3/3758.html В статье "The Hidden Treasures of IPTables" рассказано о некоторых интересных возможностях iptables недоступных в стандартной поставке 2.4 Linux ядра и открывающихся только после установки POM (patch-o-matic) (http://netfilter.org/patch-o-matic/index.html) патчей. <br><br>Ниже примеры интересных возможностей iptables: <br><br><br><br><br><br>Фильтрация по строковой маске:<br><br><br>iptables -A FORWARD -i eth0 -p tcp --sport 80 \<br> -m string --string '&#124;7F&#124;ELF' -j DROP<br><br>iptables -A FORWARD -i eth0 -p tcp \<br> ! -s 192.168.0.5 --sport 80 -m string \<br> --string '&#124;7F&#124;ELF' -j DROP<br><br><br><br>Сжатая компоновка номеров портов в одной строке:<br><br><br>iptables -A INPUT -p tcp -m mport \<br> --dports 80,110,21,6000:6003 -j ACCEPT<br><br><br><br>Учет времени при блокировке: <br><br><br>iptables -A INPUT -p tcp -d 80 -m time \<br> --timestart 04:00 --timestop 06:30 --days Fri \<br> --syn -j REJECT<br><br><br>Коннект в пустоту (соединение не закрывается, но ничего не происходит)<br><br><br>iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT<br><br><br><br>Срабатывание https://www.opennet.me/openforum/vsluhforumID3/3758.html#27 Fri, 15 Jan 2010 15:52:42 GMT &gt;Так несколько портов в одной строке давно можно было указать, только через <br>&gt;multiport. Для этого не надо устанавливать patch-o-matic <br><br>Посмеялся...<br>Если посмотреть на даты сообщений, и увидеть --mport можно, даже не зная факта,<br>сделать вывод о вхождении этих патчей в мейнстрим.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/3758.html#26 Thu, 07 Aug 2008 14:02:00 GMT Так несколько портов в одной строке давно можно было указать, только через multiport. Для этого не надо устанавливать patch-o-matic<br> https://www.opennet.me/openforum/vsluhforumID3/3758.html#25 Fri, 05 Nov 2004 11:36:12 GMT Подборка патчей для обзора IMHO не самая удачная.<br>Я например в свое время использовал для биллинговой системы интернет-клуба патчик, который прибивал правило в iptables, как только счетчик превышал заданное кол-во байт, кажется он называется limit. Красота, не надо было никаких кронов и прочей мутотени, не говоря уже о том что решение получилось хоть и не совсем стандартным (надо было патчить ядро), но зато красивым и производительным.<br> https://www.opennet.me/openforum/vsluhforumID3/3758.html#24 Mon, 14 Jun 2004 20:22:33 GMT ну Iptables можно использовать как вспомогательный инструмент для Iproute2<br>в сочетании с модулями connmark,string,p2p получается очень вкусная шняжка ;) эдакий тонкий шейпер ;) https://www.opennet.me/openforum/vsluhforumID3/3758.html#23 Sun, 06 Jun 2004 11:07:55 GMT &gt;временные рамки тоже рулез <br>&gt;почти циска <br><br>Переменная, условие для iptables, устанавливаемая через /proc удобнее и более гибкая. Там хоть от времени, хоть от чёрты лысого устанавливай условия. https://www.opennet.me/openforum/vsluhforumID3/3758.html#22 Sun, 06 Jun 2004 07:09:00 GMT &gt;к стати научился таки айпитаблес трафик по человечески шейпирорвать ? <br>А он тут причем??? Этим iproute2 заведует.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/3758.html#21 Sat, 05 Jun 2004 20:44:32 GMT а проверить не судьба ? ) вообще тут половина старья которым я пользовался ещё в МДК 9.0 установке по умолчанию ничего не патча)<br><br>к стати научился таки айпитаблес трафик по человечески шейпирорвать ? https://www.opennet.me/openforum/vsluhforumID3/3758.html#20 Sat, 05 Jun 2004 19:56:23 GMT Просветите несведущего, а когда эти патчи будут входить в состав стандартного ядра? Родмэп есть какой-то для каждой части? Или для всех патчей вкупе? https://www.opennet.me/openforum/vsluhforumID3/3758.html#19 Sat, 05 Jun 2004 19:53:50 GMT Вероятность красивая штука. Если приложить голову, в некоторых случаях можно до "высшего руководства" в разрезе бюджетирования добраться.<br><br>Некрасиво. Но можно. <br><br>(как выпью - панковское детство просыпается, звиняйте люди добрые)