Comme il a déjà été précisé, le rôle principal de cette table devrait
être de modifier des paquets. En d'autres termes, vous pouvez utiliser
en toute liberté les correspondances de la table mangle, qui permettent
de changer les champs de TOS (type de service),
et d'autres.
![[Attention]](images/caution.png)
|
Attention |
|---|---|
|
Vous avez été suffisamment prévenus de ne pas utiliser cette table pour effectuer du filtrage; de même, les opérations de DNAT, SNAT ou de masquerading ne fonctionnent pas dans cette table. |
Les cibles suivantes sont valides uniquement dans la table mangle. Elles ne doivent pas être utilisées en dehors de cette table.
TOS
TTL
MARK
SECMARK
CONNSECMARK
La cible TOS permet de définir et/ou modifier le
champ de Type de Service d'un paquet. C'est utile
pour définir des stratégies réseau concernant le choix de routage des
paquets. Sachez que, d'une part ceci n'a pas été perfectionné, d'autre part
ce n'est pas vraiment implémenté sur Internet car la majorité des
routeurs ne se préoccupent pas de ce champ, et quelquefois même, ils adoptent
un comportement erroné. Bref, ne configurez pas ce champ sur les paquets qui
naviguent sur Internet, sauf si vous souhaitez leur appliquer des
décisions de routage, avec iproute2.
La cible TTL permet de modifier le champ
durée de vie ou TTL (Time To Live) d'un paquet.
Il est possible par exemple de spécifier aux paquets d'avoir un champ
TTL spécifique. Ceci peut se justifier lorsque vous
ne souhaitez pas être rejeté par certains Fournisseurs d'Accès à Internet
(FAI) trop indiscrets. En effet, il existe des FAI qui désapprouvent les
utilisateurs branchant plusieurs ordinateurs sur une même connexion, et
de fait, quelques-uns de ces FAI sont connus pour vérifier si un même hôte
génère différentes valeurs TTL, supposant ainsi que
plusieurs machines sont branchées sur la même connexion.
La cible MARK permet d'associer des valeurs
de marquage particulières aux paquets. Elles
peuvent ensuite être identifiées par les programmes iproute2
pour appliquer un routage différent en fonction de l'existence ou de l'absence
de telle ou telle marque. On peut ainsi réaliser
de la restriction de bande passante et de la gestion de priorité
(Class Based Queuing).
La cible SECMARK peut être utilisée pour placer des marques dans un contexte de sécurité sur des paquets dans SELinux ou tout autre système de sécurité capable de gérer ces marques.
CONNSECMARK sert à copier un contexte de sécurité vers ou depuis un simple paquet ou vers une connexion complète. Elle est utilisée par SELinux ou autre système de sécurité pour affiner cette sécurité au niveau connexion.
| Précédent | Niveau supérieur | Suivant |
| Chapitre 6. Traversée des tables et des chaînes | Sommaire | 6.3. La table Nat |
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 