Непрочитанное сообщение
Larva » 2010-08-12 16:50:19
как src_addr, dst_addr можно использовать
Адрес источника или назначения пакета. Возможные варианты:
* Просто одиночный адрес IPv4, или IPv6
* Сеть в формате CIDR
* Полностью разрешённое доменное имя (FQDN), которое будет разрешено через DNS при загрузке правила. Все адреса соответствующие данному имени будут помещены в данное правило.
* Имя интерфейса или группы. Все адреса закреплённые за интерфейсом будут подставлены в правило.
* Имя интерфейса, за которым идёт /netmask (например /24). Ко всем адресам закреплённым за данным интерфейсом, будет добавлена данная сетевая маска, и полученные сети CIDR будут добавлены в данное правило.
* Имя сетевого интерфейса или группы, взятое в круглые скобки (...). Данное правило будет автоматически меняться при смене адреса закреплённого за интерфейсом. Это может быть полезно, например, для DHCP клиентов.
*
Имя сетевого интерфейса, за которым идёт один из следующих модификаторов:
:network
Замещается сетью CIDR закреплённой за данным интерфейсом
:broadcast
Замещается широковещательным адресом закреплённым за данным интерфейсом
:peer
Замещается адресом партнёра для point-to-point интерфейса.
Кроме того, за именем интерфейса или за любым из перечисленных выше модификаторов, может следовать модификатор :0, указывающий на то, что нас не интересуют алиасы, т.е. дополнительные адреса, котрые можно добавить к сетевому интерфейсу (см. Раздел 6.15, «Знание как и когда устанавливать или удалять алиасы сетевого интерфейса»). Например: fxp0:network:0.
* Таблица
* Любая из приведённых выше конструкций с символом отрицания — !.
* Перечень конструкций с использованием списка.
* Ключевое слово any, означающее все адреса.
* Ключевое слово all, которое является эквивалентом конструкции from any to any.