W tej sekcji postaram siê omówiæ użycie nowych testów. Łaty wymieniane bêdą w kolejności alfabetycznej. Nie poruszymy łat, które powodują uszkadzanie innych łat, choæ byæ może kiedyś tak siê stanie.
Ogólnie rzecz biorąc, możesz uzyskaæ pomoc dla testów wpisując:
# iptables -m test_o_który_ci_chodzi --help
Wyświetli to normalną pomoc iptables, oraz dodatkowe informacje dotyczące `testu_o_który_ci_chodzi' na koñcu.
Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje jeden nowy test:
Może ona byæ pomocna dla ludzi używających schematu adresowania EUI-64, którzy chcieliby sprawdziæ pakiety pod kątem dostarczonego adresu w LANie.
Na przykład, przekierujemy wszystkie pakiety posiadające prawidłowe adresy EUI-64:
# ip6tables -N ipv6ok
# ip6tables -A INPUT -m agr -j ipv6ok
# ip6tables -A INPUT -s ! 3FFE:2F00:A0::/64 -j ipv6ok
# ip6tables -A INPUT -j LOG
# ip6tables -A ipv6ok -j ACCEPT
# ip6tables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
ipv6ok all anywhere anywhere AGR
ipv6ok all !3ffe:2f00:a0::/64 anywhere
LOG all anywhere anywhere LOG level warning
Chain ipv6ok (2 references)
target prot opt source destination
ACCEPT all anywhere anywhere
Test nie ma żadnych opcji.
Łata autorstwa Andras Kis-Szabo <kisza@sch.bme.hu> dodaje nowy test, pozwalający sprawdzaæ pakiety na podstawie ich rozszerzonych nagłówków.
Na przykład, odrzucajmy pakiety z dodanymi hop-by-hop, nagłówkami ipv6-route i zawartością protokołu:
# ip6tables -A INPUT -m ipv6header --header hop-by-hop,ipv6-route,protocol -j DROP
# ip6tables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all anywhere anywhere ipv6header flags:hop-by-hop,ipv6-route,protocol
A teraz, odrzuæmy pakiety które mają rozszerzony nagłówek ipv6-route:
# ip6tables -A INPUT -m ipv6header --header ipv6-route --soft -j DROP
# ip6ptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all anywhere anywhere ipv6header flags:ipv6-route soft
Dostêpne opcje dla celu to:
--header [!] nagłówki- możesz podaæ interesujące ciê nagłówki z jego opcjami. Akceptowane formaty to:
--soft- możesz określiæ tryb `miêkki' - sprawdzana jest tylko obecnośæ nagłówka, nie cały test!
Łata Jana Rekorajskiego <baggins@pld.org.pl> dodaje cztery nowe testy:
Są to wersje łat dla protokołu IPv4, sprawdź wyżej szczegóły.
Łata autorstwa Imrana Patela <ipatel@crosswinds.net> dodaje nowy test umożliwiający dopasowywanie pakietu na podstawie jego długości. (bezwstydna adaptacja łaty dla IPv4 autorstwa Jamesa Morrisa <jmorris@intercode.com.au>)
Na przykład, odrzuæmy wszystkie pingi z długością pakietu wiêkszą niż 85 bajtów:
# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type echo-request -m length --length 85:0xffff -j DROP
# ip6ptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP ipv6-icmp -- anywhere anywhere ipv6-icmp echo-request length 85:65535
Opcje dostêpne dla testu to:
[!] --length długośæ[:długośæ]- testuje pakiety o określonej długości lub mieszczące siê w podanym zakresie wielkości (włącznie)
Wartości, których nie podano są dodawane automatycznie. Minimalna wartośæ to 0, maksymalna 65535.