header - 如何使用 iptables 扩展标记发送到服务器的数据包？

Question

我想使用 iptables 扩展(或 IPSec 工具？)来增强 SSH 识别能力，用于标记(发送时)和匹配(接收时)我的笔记本电脑和我的笔记本电脑之间的数据包服务器。

我不需要 VPN，只是在与服务器通信时发送 IP 选项 header (或 AH 字段？)中的附加信息。

如果可以仅使用适用于 Debian 的 iptables 插件(首先更改 header ，然后比较远程主机上的 key )，那就太好了。

我用 google 搜索了一天，找到了诸如检查内容协议(protocol) AH 和 ESP 之类的主题；使用 iptables 字符串匹配过滤器；有效负载修改等 - 但现在我无法理解最重要的事情:在两台计算机上为 Debian 安装哪个数据包:)

我的梦想是在 SSH 握手开始之前在端口 22(内部没有签名)上使用 iptables 阻止连接。你能帮我一下吗？

Answer 1

我又做了功课，网上的高手告诉我使用ToS字段，“在全局网络上传输时它保持不变”。

如何设置的示例:

iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10

而且它是一个非常小的字段(256 位)，充满了服务信息，因此没有太多空间可以使用，您必须非常小心。但仍然!..

然后可以使用类似的方法在接收计算机上读取 ToS 值

iptables -A INPUT -p tcp -m tos --tos 0x16