Iptables 指南 1.1.19(中文版)(三)

来源：互联网 作者：west263.com 时间：2008-04-16

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

--limitExampleiptables -A INPUT -m limit --limit 3/hourExplanation为limit match配置最大平均匹配速率，也就是单位时间内limit match能够匹配几个包。他的形式是个数值加一个时间单位，能够是/second /minute /hour /day 。默认值是每小时3次（用户角度），即3/hour ，也就是每20分钟一次（iptables角度）。Match--limit-burstExampleiptables -A INPUT -m limit --limit-burst 5Explanation这里定义的是limit match的峰值，就是在单位时间（这个时间由上面的--limit指定）内最多可匹配几个包（由此可见，--limit-burst的值要比--limit的大）。默认值是5。为了观察他是如何工作的，您能够启动“只有一条规则的脚本”Limit- match.txt，然后用不同的时间间隔、发送不同数量的ping数据包。这样，通过返回的 echo replies就能够看出其工作方式了。

6.4.3.2. MAC match

基于包的MAC源地址匹配包。到写这篇文章时，这个match更有一点限制（就是只能匹配MAC源地址匹），但今后定会有所发展，会更有用的。

注意，这个match是由-m mac装入的，而不是一些人想当然的-m mac-source，后者只是前者的选项而已。

Table 6-9. MAC match options

Match	--mac-source
Example	iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
Explanation	基于包的MAC源地址匹配包，地址格式只能是XX:XX:XX:XX:XX:XX，当然他也能够用英文感叹号取反，如--mac- source ! 00:00:00:00:00:01，意思很简单了，就是除此之外的地址都可接受嘛。注意，因为 MAC addresses只用于Ethernet类型的网络，所以这个match只能用于Ethernet接口。而且，他还只能在PREROUTING，FORWARD 和INPUT链里使用。

6.4.3.3. Mark match

以包被配置的mark来匹配包，这个值只能由内核更改。前面曾提到过，mark比较特别，他不是包本身的一部分，而是在包穿越电脑的过程中由内核分配的和他相关联的一个字段。他可能被用来改变包的传输路径或过滤。时至今日，在linux里只有一种方法能配置mark，即iptables的MARK target，以前在ipchains里是FWMARK target。这就是为什么在高级路由里我们仍要参照FWMARK的原因。mark字段的值是个无符号的整数，在32位系统上最大能够是4294967296（就是2的32次方），这足够用的了:)

Table 6-10. Mark match options

Match	--mark
Example	iptables -t mangle -A INPUT -m mark --mark 1
Explanation	以包被配置的mark值来匹配包，这个值是是由下面将要介绍的 MARK target来配置的，他是个无符号的整数。任何通过 Netfilter的包都会被分配一个相关联的mark field 。但要注意mark值可不是在任何情况下都能使用的，他只能在分配给他值的那台机子里使用，因为他只是由内核在内存里分配的和包相关的几个字节，并不属于包本身，所以我们不能在本机之外的路由器上使用。mark的格式是--mark value[/mask]，如上面的例子是没有掩码的，带掩码的例子如--mark 1/1。假如指定了掩码，就先把mark值和掩码取逻辑和，然后再和包的mark值比较。