iptables命令使用详解(2)

-p tcp：可直接使用tcp扩展模块的专用选项；
　　[!] --source-port,--sport port[:port] 匹配报文源端口；可以给出多个端口，但只能是连续的端口范围 ；

　　[!] --destination-port,--dport port[:port] 匹配报文目标端口；可以给出多个端口，但只能是连续的端口范围 ；

　　[!] --tcp-flags mask comp 匹配报文中的tcp协议的标志位；Flags are: SYN ACK FIN RST URG PSH ALL NONE；
　　　　mask：要检查的FLAGS list，以逗号分隔；
　　　　comp：在mask给定的诸多的FLAGS中，其值必须为1的FLAGS列表，余下的其值必须为0；

　　[!] --syn： --tcp-flags SYN,ACK,FIN,RST SYN

-p udp：可直接使用udp协议扩展模块的专用选项：

　　[!] --source-port,--sport port[:port]

　　[!] --destination-port,--dport port[:port]

-p icmp
　　[!] --icmp-type {type[/code]|typename}

　　　　0/0：echo reply

　　　　8/0：echo request

显式扩展匹配条件

　　必须用-m option选项指定扩展匹配的类型，常见的有以下几种，

1、multiport

以离散或连续的 方式定义多端口匹配条件，最多15个；

　　[!] --source-ports,--sports port[,port|,port:port]...：指定多个源端口；

　　[!] --destination-ports,--dports port[,port|,port:port]...：指定多个目标端口；

iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT

2、iprange

以连续地址块的方式来指明多IP地址匹配条件；

　　[!] --src-range from[-to]

　　[!] --dst-range from[-to]

# iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -m iprange --src-range 172.16.0.61-172.16.0.70 -j REJECT

3、time

匹配数据包到达的时间

　　--timestart hh:mm[:ss]

　　--timestop hh:mm[:ss]

　　[!] --weekdays day[,day...]

　　[!] --monthdays day[,day...]

　　--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

　　--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

　　--kerneltz：使用内核配置的时区而非默认的UTC；

4、string
匹配数据包中的字符

　　--algo {bm|kmp}

　　[!] --string pattern

　　[!] --hex-string pattern

　　--from offset

　　--to offset

~]# iptables -I OUTPUT -m string --algo bm --string "gay" -j REJECT

5、connlimit
用于限制同一IP可建立的连接数目

　　--connlimit-upto n

　　--connlimit-above n

~]# iptables -I INPUT -d 172.16.0.7 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j REJECT

6、limit
限制收发数据包的速率

　　--limit rate[/second|/minute|/hour|/day]

　　--limit-burst number

~]# iptables -I OUTPUT -s 172.16.0.7 -p icmp --icmp-type 0 -j ACCEPT

7、state
限制收发包的状态

　　[!] --state state

　　INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.

　　NEW: 新连接请求；

　　ESTABLISHED：已建立的连接；

　　INVALID：无法识别的连接；

　　RELATED：相关联的连接，当前连接是一个新请求，但附属于某个已存在的连接；

　　UNTRACKED：未追踪的连接；

state扩展：

内核模块装载：
　　nf_conntrack
　　nf_conntrack_ipv4

手动装载：
　　nf_conntrack_ftp

追踪到的连接：
　　/proc/net/nf_conntrack

调整可记录的连接数量最大值：
　　/proc/sys/net/nf_conntrack_max

超时时长：
　　/proc/sys/net/netfilter/*timeout*

更多iptables相关教程见以下内容：

CentOS 7.0关闭默认防火墙启用iptables防火墙 

Iptables工作原理使用详解

Ubuntu 14.04 配置iptables防火墙

Linux下编译安装iptables 

iptables的备份、恢复及防火墙脚本的基本使用

Iptables工作原理使用详解 

CentOS7下iptables配置过程

iptables 用法及常用模块总结 

Linux下iptables防火墙设置

Linux防火墙iptables详解