Comme il a déjà été précisé, le rôle principal de cette table
devrait être de modifier des paquets. En d'autres termes, vous
pouvez utiliser en toute liberté les correspondances de la table
mangle, qui permettent de changer les champs de TOS (type de service), et d'autres.
![[Attention]](/images/caution.png) |
Attention |
|---|---|
|
Vous avez été suffisamment prévenus de ne pas utiliser cette table pour effectuer du filtrage; de même, les opérations de DNAT, SNAT ou de masquerading ne fonctionnent pas dans cette table. |
Les cibles suivantes sont valides uniquement dans la table mangle. Elles ne doivent pas être utilisées en dehors de cette table.
-
TOS
-
TTL
-
MARK
-
SECMARK
-
CONNSECMARK
La cible TOS
permet de définir et/ou modifier le champ de Type de Service d'un paquet. C'est utile pour
définir des stratégies réseau concernant le choix de routage des
paquets. Sachez que, d'une part ceci n'a pas été perfectionné,
d'autre part ce n'est pas vraiment implémenté sur Internet car la
majorité des routeurs ne se préoccupent pas de ce champ, et
quelquefois même, ils adoptent un comportement erroné. Bref, ne
configurez pas ce champ sur les paquets qui naviguent sur Internet,
sauf si vous souhaitez leur appliquer des décisions de routage,
avec iproute2.
La cible TTL
permet de modifier le champ durée de vie ou TTL (Time To Live) d'un paquet. Il est possible
par exemple de spécifier aux paquets d'avoir un champ TTL spécifique. Ceci peut se justifier lorsque
vous ne souhaitez pas être rejeté par certains Fournisseurs d'Accès
à Internet (FAI) trop indiscrets. En effet, il existe des FAI qui
désapprouvent les utilisateurs branchant plusieurs ordinateurs sur
une même connexion, et de fait, quelques-uns de ces FAI sont connus
pour vérifier si un même hôte génère différentes valeurs
TTL, supposant ainsi que plusieurs
machines sont branchées sur la même connexion.
La cible MARK
permet d'associer des valeurs de marquage particulières aux paquets. Elles
peuvent ensuite être identifiées par les programmes iproute2 pour appliquer un
routage différent en fonction de l'existence ou de l'absence de
telle ou telle marque. On peut
ainsi réaliser de la restriction de bande passante et de la gestion
de priorité (Class Based Queuing).
La cible SECMARK peut être utilisée pour placer des marques dans un contexte de sécurité sur des paquets dans SELinux ou tout autre système de sécurité capable de gérer ces marques.
CONNSECMARK sert à copier un contexte de sécurité vers ou depuis un simple paquet ou vers une connexion complète. Elle est utilisée par SELinux ou autre système de sécurité pour affiner cette sécurité au niveau connexion.