Criteri avanzati di match
Oltre alla possibilitą di matchare pacchetti sulla base di logiche comuni, esistono delle estensioni particolarmente potenti e versatili.
Vanno richiamate con -m match
e possono avere delle opzioni specifiche per il modulo di match utilizzato.
ADDRESS TYPE (-m addrtype
) - Match sul tipo di pacchetto sulla base del suo indirizzo (es: UNSPEC, UNICAST, MULTICAST, BROADCAST, ANYCAST, LOCAL, BLACKHOLE... )
Es: iptables -I INPUT -m addrtype --src-type UNSPEC --dst-type UNICAST -j LOG
CONNECTION RATE (-m connrate
) - Match sulla velocitą di connessione in byte/secondo.
Es: iptables -I FORWARD -m connrate --connrate :36000 -d 213.215.151.8 -j ACCEPT
LIMIT (-m limit
) - Impostazione di limiti sulla base di pacchetti /secondo /minuto /ora /giorno.
Es: iptables -I FORWARD -p tcp --syn -m limit --limit 10/second --limit-burst 20/second -d 213.215.151.8 -j ACCEPT
MAC ADDRESS (-m mac
) - Match sul mac address di un frame ethernet.
Es: iptables -I INPUT -m mac --mac-source 00:50:8B:4D:55:BB -j ACCEPT
MULTIPORT (-m multiport
) - Permette di definire pił porte (sorgente o destinazaione).
Es: iptables -I INPUT -p tcp -m multiport --destination-port 25,80,110,143,443,993,995 -j ACCEPT
OWNER (-m owner
) - Match di un pacchetto in uscita secondo onwer, pid o nome del processo che lo ha generato.
Es: iptables -I OUTPUT -m onwer --uid-owner 501 -j ACCEPT
PACKET TYPE (-m pkttype
) - Match sul tipo di pacchetto a livello di datalink (UNICAST, MULTICAST, BROADCAST)
Es: iptables -I INPUT -m pkttype --pkt-type UNICAST -j LOG