简易防火墙建置与流量统计(6)

属于网际层的一部分，利用 IP 封包的传送，发送它的讯息，ICMP 发送的讯息执行了如侦测远端机器是否运作(‘ping’)、资料流的控制(当封包到得太快来不及处理时，目的主机传回一个 ICMP 的来源抑制讯息给发送者，告诉资料来源暂时停止传送封包)。

ICMP 并没有 port，但它还是有它的选项参数可以使用，用来选择 ICMP 的类型。

我们可以指定 ICMP 的名称或是数字代表(可以执行 ipchains -h icmp 去列出详细的名字)。

5.4 指定UDP和TCP的port

指定来源和目的地的IP位址 -s -d ：

来源(-s)和目的地(-d)的表示法有3种：

1. 使用完整的主称名称，例如：‘mouse.oit.edu.tw’ 或 ‘localhost’
2. 使用IP位址，例如：‘192.192.73.36’
3. 允许某范围的IP位址，例如：‘192.192.73.0/24’ 或 ‘192.192.73.0/255.255.255.0’ 两者是一样的，都是包含了192.192.73.0 ~ 192.192.73.255的IP位址。

在斜线(‘/’)的数字代表了IP位址，‘/24’是255.255.255.0，‘/32’是 255.255.255.255，其中比较重要的是’0/0’，指全部。

范例：

ipchains -A input -s 0/0 -j DENY

说明：

‘0/0’表示指定所有来源的 IP 位址都会被拒绝，你也可以不加’-s’参数，也是指定所有的来源 IP 位址。

5.5 重要的指定目标

除了去指定协定之外，还可以细分去指定它的 port

例如：

指所有来源位址的 port 80，其中 80 也可以用名字来表示’www’

-p tcp -s 0.0.0.0/0 80

假如要 TCP 封包可以到达 192.168.0.1 的任何 port，但除了 www 这个 port：

-p tcp -d 192.168.0.1 ! www

其中惊叹号’!’放置的位址也可以这样指定：

-p tcp -d ! 192.168.0.1 www

也可以表示为不是 192.168.0.1 和 www 的 port：

-p tcp -d ! 192.168.0.1 ! www

5.6 log 记录 /var/log/message

若你有加上’-l’选项的话，关于 ipchains 的讯息会被记录在 /var/log/message 档案中，在标准的 Linux 系统上，kernel 的输出讯息经由 klogd(kernel logging daemon)所记录。其中的记录为：

Jul 18 11:38:28 www kernel: Packet log: input REJECT eth0 PROTO=1
(1) (2) (3) (4) (5) (6) (7) (8)
192.168.1.3:8 192.168.1.1:0 L=60 S=0x00 I=7476 F=0x0000 T=32
(9) (10) (11) (12) (13) (14) (15)

ipchains记录：

(1) 日期、时间
(2) 主机名称
(3) 使用 kernel 来记录
(4) 指出从 ipchains 产生讯息
(5) 所使用的规则：input
(6) 规则的目标：REJECT
(7) 封包所经过的网络卡界面：eth0
(8) 协定号码：1(ICMP)、6(TCP)、17(UDP)
(9) 来源 IP 位址和 port
(10) 目的地 IP 位址和 port
(11) 封包的长度
(12) TOS(Type of service)
(13) IP 的 ID
(14) 资料段偏移