一系列的标志,分为两个串,第一个串表示哪些标志是要检查的;第二个串表示哪些标志是1(其他则为0)。
例如:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY
表示ALL(SYN,ACK,FIN,RST,URG,PSH’)的标志都要被检查,但是只有设置了SYN和ACK的才匹配。
--syn
等同于--tcp-flags SYN,RST,ACK SYN (100)
--source-port 或者 --sport
描述源端口,要么用数字,用么用/etc/services文件中的名字。可以用m:n来表示一组端口。
--destination-port 或者 –dport
描述目的端口
--tcp-option
检查一个包是否有相应的tcp选项,如果没有的话,包将被drop掉。
l TCP标记的一个解释
有时候只允许一个单向的TCP连接。例如,你只需要访问外部的WWW的服务器,而不允许外部访问你内部的WWW服务器。朴素的方法是阻塞所有从你的服务器发出的包,但是TCP连接需要一个双向的交流。解决的方法是只需要阻塞请求连接的包。这些包叫做SYN包。通过阻塞这些包,我们可以达到上面的目的。
标志—syn将被使用。他仅仅适用于TCP协议。例如:
-p TCP -s 192.168.1.1 --syn
这条规则描述所有从192.168.1.1发起的连接。
l UDP扩展
如果-u udp 被描述,所有扩展自动装载。他提供与TCP类似的选项--source-port, --sport, --destination-port, --dport。
l ICMP扩展
如果选项-p icmp被描述,所有的扩展自动装载。他只提供一个选项:
--icmp-type
看名字就知道是指类型,具体的名字参看-p icmp –help提供的帮助信息。
l 其他匹配扩展
这些选项可以用-m来启动。
[1] [2] [3] 下一页