Опцията netfilter MARK ще позволи да използвате netfilter, за да променяте пакетите и да ги маркирате за специално маршрутизиране, подреждане в опашката или записване в дневник. Ако имате специални нужди, може да включите този параметър:


Netfilter MARK match support              optional


Опцията Multiple port match support позволява в правилата на iptables да се използват множество портове вместо само един. Това намалява броя на отделните правила и осигурява повече гъвкавост:


Multiple port match support                optional


Ако желаете да определяте приоритети на пакетите въз основа на TOS бита (който също може да се настройва от netfilter), ще се нуждаете от тази опция:

TOS match support                   recommended

Ако следващата опция е избрана, netfilter може да разпознава и да работи със състоянието на конекцията. Състоянията на конекцията включват нова (new), установена (established), сродна (related) и непознато състояние (unknown). Ако искате да използвате възможностите на ntefilter за запомняне на състояние, тази опция ще ви бъде необходима :


Connection state match support                 recommended


Опцията Unclean match support  осигурява обработка на невалидни или странни пакети: изследва се серия от полета в IP, TCP, UDP  и ICMP хедърите.Това могат да бъдат например пакети, които включват ICMP ехо отговори, за които не са били изпратени ехо заявки или SYN-ACK пакети, за които няма изпратен SYN пакет. Най-вероятно трябва да изберете тази опция:

Unclean match support  (EXPERIMENTAL)                recommended

Опцията Owner match support позволява локално генерираните пакети (само на локален хост) да бъдат проверявани за съвпадение на потребител, група, сесия или процес. Този модул се използва само ако локалният хост трябва да се използва като работна станция: 

Owner match support (EXPERIMENTAL)              optional


Още опции ще намерите в третата част на урока....

 
Урокът продължава в “Защита под Linux - Защитни стени 3част”