00000009.htm

一份很好的linux入门资料

3.1is&nbsp;extremely&nbsp;useful&nbsp;for&nbsp;dial-up&nbsp;PPP&nbsp;links&nbsp;(usually&nbsp;interface&nbsp;ppp0)&nbsp;and&nbsp;&nbsp;<BR>
the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;like.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;As&nbsp;a&nbsp;special&nbsp;case,&nbsp;an&nbsp;interface&nbsp;name&nbsp;ending&nbsp;with&nbsp;a&nbsp;`+'&nbsp;will&nbsp;match&nbsp;all
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;interfaces&nbsp;(whether&nbsp;they&nbsp;currently&nbsp;exist&nbsp;or&nbsp;not)&nbsp;which&nbsp;begin&nbsp;with&nbsp;that
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;string.&nbsp;For&nbsp;example,&nbsp;to&nbsp;specify&nbsp;a&nbsp;rule&nbsp;which&nbsp;matches&nbsp;all&nbsp;PPP&nbsp;interfaces,
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;the&nbsp;-i&nbsp;ppp+&nbsp;option&nbsp;would&nbsp;be&nbsp;used.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;interface&nbsp;name&nbsp;can&nbsp;be&nbsp;preceded&nbsp;by&nbsp;a&nbsp;`!'&nbsp;to&nbsp;match&nbsp;a&nbsp;packet&nbsp;which&nbsp;does
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;not&nbsp;match&nbsp;the&nbsp;specified&nbsp;interface(s).
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;e
&nbsp;<BR>
&nbsp;&nbsp;Specifying&nbsp;Fragments
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
on
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Sometimes&nbsp;a&nbsp;packet&nbsp;is&nbsp;too&nbsp;large&nbsp;to&nbsp;fit&nbsp;down&nbsp;a&nbsp;wire&nbsp;all&nbsp;at&nbsp;once.&nbsp;When&nbsp;this
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;happens,&nbsp;the&nbsp;packet&nbsp;is&nbsp;divided&nbsp;into&nbsp;fragments,&nbsp;and&nbsp;sent&nbsp;as&nbsp;multiple
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;packets.&nbsp;The&nbsp;other&nbsp;end&nbsp;reassembles&nbsp;these&nbsp;fragments&nbsp;to&nbsp;reconstruct&nbsp;the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;whole&nbsp;packet.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;problem&nbsp;with&nbsp;fragments&nbsp;is&nbsp;that&nbsp;the&nbsp;initial&nbsp;fragment&nbsp;has&nbsp;the&nbsp;complete
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;header&nbsp;fields&nbsp;(IP&nbsp;+&nbsp;TCP,&nbsp;UDP&nbsp;and&nbsp;ICMP)&nbsp;to&nbsp;examine,&nbsp;but&nbsp;subsequent&nbsp;packets
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;only&nbsp;have&nbsp;a&nbsp;subset&nbsp;of&nbsp;the&nbsp;headers&nbsp;(IP&nbsp;without&nbsp;the&nbsp;additional&nbsp;protocol
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;fields).&nbsp;Thus&nbsp;looking&nbsp;inside&nbsp;subsequent&nbsp;fragments&nbsp;for&nbsp;protocol&nbsp;headers&nbsp;&nbsp;&nbsp;&nbsp;<BR>
n
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;(such&nbsp;as&nbsp;is&nbsp;done&nbsp;by&nbsp;the&nbsp;TCP,&nbsp;UDP&nbsp;and&nbsp;ICMP&nbsp;extensions)&nbsp;is&nbsp;not&nbsp;possible.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;If&nbsp;you&nbsp;are&nbsp;doing&nbsp;connection&nbsp;tracking&nbsp;or&nbsp;NAT,&nbsp;then&nbsp;all&nbsp;fragments&nbsp;will&nbsp;get
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;merged&nbsp;back&nbsp;together&nbsp;before&nbsp;they&nbsp;reach&nbsp;the&nbsp;packet&nbsp;filtering&nbsp;code,&nbsp;so&nbsp;you
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;need&nbsp;never&nbsp;worry&nbsp;about&nbsp;fragments.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Otherwise,&nbsp;it&nbsp;is&nbsp;important&nbsp;to&nbsp;understand&nbsp;how&nbsp;fragments&nbsp;get&nbsp;treated&nbsp;by&nbsp;the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;filtering&nbsp;rules.&nbsp;Any&nbsp;filtering&nbsp;rule&nbsp;that&nbsp;asks&nbsp;for&nbsp;information&nbsp;we&nbsp;don't
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;have&nbsp;will&nbsp;not&nbsp;match.&nbsp;This&nbsp;means&nbsp;that&nbsp;the&nbsp;first&nbsp;fragment&nbsp;is&nbsp;treated&nbsp;like
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;any&nbsp;other&nbsp;packet.&nbsp;Second&nbsp;and&nbsp;further&nbsp;fragments&nbsp;won't&nbsp;be.&nbsp;Thus&nbsp;a&nbsp;rule&nbsp;-p
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;TCP&nbsp;--sport&nbsp;www&nbsp;(specifying&nbsp;a&nbsp;source&nbsp;port&nbsp;of&nbsp;`www')&nbsp;will&nbsp;never&nbsp;match&nbsp;a
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;fragment&nbsp;(other&nbsp;than&nbsp;the&nbsp;first&nbsp;fragment).&nbsp;Neither&nbsp;will&nbsp;the&nbsp;opposite&nbsp;rule
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;-p&nbsp;TCP&nbsp;--sport&nbsp;!&nbsp;www.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;interface.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;However,&nbsp;you&nbsp;can&nbsp;specify&nbsp;a&nbsp;rule&nbsp;specifically&nbsp;for&nbsp;second&nbsp;and&nbsp;further
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;fragments,&nbsp;using&nbsp;the&nbsp;`-f'&nbsp;(or&nbsp;`--fragment')&nbsp;flag.&nbsp;It&nbsp;is&nbsp;also&nbsp;legal&nbsp;to
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;specify&nbsp;that&nbsp;a&nbsp;rule&nbsp;does&nbsp;not&nbsp;apply&nbsp;to&nbsp;second&nbsp;and&nbsp;further&nbsp;fragments,&nbsp;&nbsp;<BR>
byThis
&nbsp;<BR>
3.1preceding&nbsp;the&nbsp;`-f'&nbsp;with&nbsp;`!'.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;d&nbsp;&nbsp;<BR>
the
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Usually&nbsp;it&nbsp;is&nbsp;regarded&nbsp;as&nbsp;safe&nbsp;to&nbsp;let&nbsp;second&nbsp;and&nbsp;further&nbsp;fragments
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;through,&nbsp;since&nbsp;filtering&nbsp;will&nbsp;effect&nbsp;the&nbsp;first&nbsp;fragment,&nbsp;and&nbsp;thus&nbsp;prevent
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;reassembly&nbsp;on&nbsp;the&nbsp;target&nbsp;host;&nbsp;however,&nbsp;bugs&nbsp;have&nbsp;been&nbsp;known&nbsp;to&nbsp;allowt
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;crashing&nbsp;of&nbsp;machines&nbsp;simply&nbsp;by&nbsp;sending&nbsp;fragments.&nbsp;Your&nbsp;call.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;es,
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Note&nbsp;for&nbsp;network-heads:&nbsp;malformed&nbsp;packets&nbsp;(TCP,&nbsp;UDP&nbsp;and&nbsp;ICMP&nbsp;packets&nbsp;too
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;short&nbsp;for&nbsp;the&nbsp;firewalling&nbsp;code&nbsp;to&nbsp;read&nbsp;the&nbsp;ports&nbsp;or&nbsp;ICMP&nbsp;code&nbsp;and&nbsp;type)s
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;are&nbsp;dropped&nbsp;when&nbsp;such&nbsp;examinations&nbsp;are&nbsp;attempted.&nbsp;So&nbsp;are&nbsp;TCP&nbsp;fragments
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;starting&nbsp;at&nbsp;position&nbsp;8.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;e
&nbsp;<BR>
&nbsp;&nbsp;S
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;As&nbsp;an&nbsp;example,&nbsp;the&nbsp;following&nbsp;rule&nbsp;will&nbsp;drop&nbsp;any&nbsp;fragments&nbsp;going&nbsp;to&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
on
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;192.168.1.1:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;is&nbsp;too&nbsp;large&nbsp;to&nbsp;fit&nbsp;down&nbsp;a&nbsp;wire&nbsp;all&nbsp;at&nbsp;once.&nbsp;When&nbsp;this
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;happens,&nbsp;the&nbsp;packet&nbsp;is&nbsp;divided&nbsp;into&nbsp;fragments,&nbsp;and&nbsp;sent&nbsp;as&nbsp;multiple
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;OUTPUT&nbsp;-f&nbsp;-d&nbsp;192.168.1.1&nbsp;-j&nbsp;DROP
&nbsp;<BR>
&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;Extensions&nbsp;to&nbsp;iptables:&nbsp;New&nbsp;Matches&nbsp;the&nbsp;initial&nbsp;fragment&nbsp;has&nbsp;the&nbsp;complete
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;header&nbsp;fields&nbsp;(IP&nbsp;+&nbsp;TCP,&nbsp;UDP&nbsp;and&nbsp;ICMP)&nbsp;to&nbsp;examine,&nbsp;but&nbsp;subsequent&nbsp;packets
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;iptables&nbsp;is&nbsp;extensible,&nbsp;meaning&nbsp;that&nbsp;both&nbsp;the&nbsp;kernel&nbsp;and&nbsp;the&nbsp;iptables&nbsp;&nbsp;<BR>
tool
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;can&nbsp;be&nbsp;extended&nbsp;to&nbsp;provide&nbsp;new&nbsp;features.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
n
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Some&nbsp;of&nbsp;these&nbsp;extensions&nbsp;are&nbsp;standard,&nbsp;and&nbsp;other&nbsp;are&nbsp;more&nbsp;exotic.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Extensions&nbsp;can&nbsp;be&nbsp;made&nbsp;by&nbsp;other&nbsp;people&nbsp;and&nbsp;distributed&nbsp;separately&nbsp;for&nbsp;et
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;niche&nbsp;users.together&nbsp;before&nbsp;they&nbsp;reach&nbsp;the&nbsp;packet&nbsp;filtering&nbsp;code,&nbsp;so&nbsp;you
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Kernel&nbsp;extensions&nbsp;normally&nbsp;live&nbsp;in&nbsp;the&nbsp;kernel&nbsp;module&nbsp;subdirectory,&nbsp;such&nbsp;&nbsp;<BR>
as
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;/lib/modules/2.3.15/net.&nbsp;They&nbsp;are&nbsp;demand&nbsp;loaded&nbsp;if&nbsp;your&nbsp;kernel&nbsp;was&nbsp;by&nbsp;the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;compiled&nbsp;with&nbsp;CONFIG_KMOD&nbsp;set,&nbsp;so&nbsp;you&nbsp;should&nbsp;not&nbsp;need&nbsp;to&nbsp;manually&nbsp;insert
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;them.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;p
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Extensions&nbsp;to&nbsp;the&nbsp;iptables&nbsp;program&nbsp;are&nbsp;shared&nbsp;libraries&nbsp;which&nbsp;live&nbsp;&nbsp;<BR>
usually
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;live&nbsp;in&nbsp;/usr/local/lib/iptables/,&nbsp;although&nbsp;a&nbsp;distribution&nbsp;would&nbsp;put&nbsp;them
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;in&nbsp;/lib/iptables&nbsp;or&nbsp;/usr/lib/iptables.
&nbsp;<BR>
OK
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Extensions&nbsp;come&nbsp;in&nbsp;two&nbsp;types:&nbsp;new&nbsp;targets,&nbsp;and&nbsp;new&nbsp;matches&nbsp;(we'll&nbsp;talk
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;about&nbsp;new&nbsp;targets&nbsp;a&nbsp;little&nbsp;later).&nbsp;Some&nbsp;protocols&nbsp;automatically&nbsp;offer&nbsp;&nbsp;<BR>
new
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;tests:&nbsp;currently&nbsp;these&nbsp;are&nbsp;TCP,&nbsp;UDP&nbsp;and&nbsp;ICMP&nbsp;as&nbsp;shown&nbsp;below.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;For&nbsp;these&nbsp;you&nbsp;will&nbsp;be&nbsp;able&nbsp;to&nbsp;specify&nbsp;the&nbsp;new&nbsp;tests&nbsp;on&nbsp;the&nbsp;command&nbsp;&nbsp;<BR>
linehis
&nbsp;<BR>
3.1after&nbsp;the&nbsp;`-p'&nbsp;option,&nbsp;which&nbsp;will&nbsp;load&nbsp;the&nbsp;extension.&nbsp;For&nbsp;explicit&nbsp;new&nbsp;&nbsp;<BR>
the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;tests,&nbsp;use&nbsp;the&nbsp;`-m'&nbsp;option&nbsp;to&nbsp;load&nbsp;the&nbsp;extension,&nbsp;after&nbsp;which&nbsp;the&nbsp;&nbsp;<BR>
extended
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;options&nbsp;will&nbsp;be&nbsp;available.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;To&nbsp;get&nbsp;help&nbsp;on&nbsp;an&nbsp;extension,&nbsp;use&nbsp;the&nbsp;option&nbsp;to&nbsp;load&nbsp;it&nbsp;(`-p',&nbsp;`-j'&nbsp;ort
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`-m')&nbsp;followed&nbsp;by&nbsp;`-h'&nbsp;or&nbsp;`--help',&nbsp;eg:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;es,
&nbsp;<BR>

&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-p&nbsp;tcp&nbsp;--help
&nbsp;<BR>
&nbsp;#&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;s
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;TCP&nbsp;Extensions&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;e
&nbsp;<BR>
&nbsp;&nbsp;S
&nbsp;<BR>