Para que serve iptables -m [RESOLVIDO]

meinhardt_jgbr
(usa Debian)

Enviado em 26/02/2011 - 19:10h

Complementando, encontrei pesquisando na Internet, o seguinte:

http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO-7.html#ss7.3

Aqui aparece que o parametro -m serve para carregar outras extensões para definir filtros:

"citação retirada da matéria do link acima":

Extensões ao iptables: Novas Implementações

O iptables é extensível, assim, tanto o kernel quanto o iptables podem ser extendidos para fornecer novas funcionalidades.

Algumas dessas extensões são padronizadas, e outras são mais exóticas. Extensões podem ser feitas por qualquer um e distribuídas separadamente para usuários de nichos mais específicos.

As extensões do kernel geralmente estão no subdiretório de módulos do kernel como, por exemplo, /lib/modules/2.3.15/net. Elas são carregadas por demanda se seu kernel foi compilado com a opção CONFIG_KMOD marcada, não havendo a necessidade de inserí-las manualmente.

As extensões do iptables são bibliotecas compartilhadas as quais geralmente estão em /usr/local/lib/iptables/, mas uma distribuição os colocaria em /lib/iptables ou /usr/lib/iptables.

Extensões vêm em dois tipos diferentes: novos alvos (targets), e novas associações (depois falaremos mais sobre novos alvos 'targets'). Alguns protocolos automaticamente oferecem novos testes: atualmente são eles TCP, UDP e ICMP como mostrado abaixo.

Para esses protocolos você poderá especificar novos testes na linha de comando depois da opção `-p', que carregará a extensão. Para novos testes explícitos, utilize a opção `-m' para carregar a extensão, depois de -m, todas as opções da extensão estarão disponíveis.

Para conseguir ajuda com uma extensão, utilize a opção que a carrega (`-p', `-j' ou `-m') sucedida por `-h' ou `--help', conforme o exemplo:

# iptables -p tcp --help
#

Extensões TCP

As extensões TCP são automaticamente carregadas se é especificada a opção `-p tcp'. Elas provêm as seguintes opções (nenhuma associa-se com fragmentos).

--tcp-flags

seguida por uma opcional `!', e por duas strings indicando flags, permite que sejam filtradas flags TCP específicas. A primeira string de flags é a máscara: uma lista de flags que serão examinadas. A segunda string diz quais flags devem estar ativas para que a regra se aplique. Por exemplo:

# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

Essa regra indica que todas as flags devem ser examinadas (`ALL' é sinônimo de `SYN,ACK,FIN,RST,URG,PSH'), mas apenas SYN e ACK devem estar ativadas. Também há um argumento `NONE' que significa nenhuma flag.

"fim da citação"

Acho que por aqui você pode seguir sua pesquisa adiante.