- 論壇徽章:
- 0
|
當 --protocol tcp 被指定,且其他匹配的擴展未被指定時,這些擴展被裝載�。它提供以下選項:
--source-port [!] [port[:port]
源端口或端口范圍指定���。這可以是服務名或端口號�����。使用格式端口:端口也可以指定包含的(端
口)范圍���。如果首端口號被忽略,默認是"0",如果末端口號被忽略�,默認是"65535",如果第二個
端口號大于第一個����,那么它們會被交換���。這個選項可以使用 --sport的別名���。
--destionation-port [!] [port:[port]
目標端口或端口范圍指定。這個選項可以使用 --dport別名來代替�。
--tcp-flags [!] mask comp
匹配指定的TCP標記。第一個參數(shù)是我們要檢查的標記���,一個用逗號分開的列表�,第二個參數(shù)是
用逗號分開的標記表,是必須被設置的�����。標記如下:SYN ACK FIN RST URG PSH ALL NONE�。因
此這條命令:iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN標記
被設置而ACK、FIN和RST標記沒有設置的包���。
[!] --syn
只匹配那些設置了SYN位而清除了ACK和FIN位的TCP包�。這些包用于TCP連接初始化時發(fā)出請
求;例如����,大量的這種包進入一個接口發(fā)生堵塞時會阻止進入的TCP連接,而出去的TCP連接不
會受到影響����。這等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"標記�����,表示相反的意
思�。
--tcp-option [!] number
匹配設置了TCP選項的。
udp
當protocol udp 被指定,且其他匹配的擴展未被指定時,這些擴展被裝載,它提供以下選項:
--source-port [!] [port:[port]
源端口或端口范圍指定�。詳見 TCP擴展的--source-port選項說明。
--destination-port [!] [port:[port]
目標端口或端口范圍指定��。詳見 TCP擴展的--destination-port選項說明�。
icmp
當protocol icmp被指定,且其他匹配的擴展未被指定時,該擴展被裝載。它提供以下選項:
--icmp-type [!] typename
這個選項允許指定ICMP類型���,可以是一個數(shù)值型的ICMP類型�����,或者是某個由命令iptables -p
icmp -h所顯示的ICMP類型名�����。
mac
--mac-source [!] address
匹配物理地址���。必須是XX:XX:XX:XX:XX這樣的格式���。注意它只對來自以太設備并進入
PREROUTING��、FORWORD和INPUT鏈的包有效����。
limit
這個模塊匹配標志用一個標記桶過濾器一一定速度進行匹配,它和LOG目標結合使用來給出有限的
登陸數(shù).當達到這個極限值時,使用這個擴展包的規(guī)則將進行匹配.(除非使用了"!"標記)
--limit rate
最大平均匹配速率:可賦的值有'/second', '/minute', '/hour', or '/day'這樣的單位,默認是3/hour�。
--limit-burst number
待匹配包初始個數(shù)的最大值:若前面指定的極限還沒達到這個數(shù)值,則概數(shù)字加1.默認值為5
multiport
這個模塊匹配一組源端口或目標端口,最多可以指定15個端口。只能和-p tcp 或者 -p udp 連著使
用�����。
--source-port [port[, port]
如果源端口是其中一個給定端口則匹配
--destination-port [port[, port]
如果目標端口是其中一個給定端口則匹配
--port [port[, port]
若源端口和目的端口相等并與某個給定端口相等,則匹配����。
mark
這個模塊和與netfilter過濾器標記字段匹配(就可以在下面設置為使用MARK標記)�����。
--mark value [/mask]
匹配那些無符號標記值的包(如果指定mask�,在比較之前會給掩碼加上邏輯的標記)�����。
owner
此模塊試為本地生成包匹配包創(chuàng)建者的不同特征��。只能用于OUTPUT鏈��,而且即使這樣一些包
(如ICMP ping應答)還可能沒有所有者�,因此永遠不會匹配。
--uid-owner userid
如果給出有效的user id����,那么匹配它的進程產(chǎn)生的包。
--gid-owner groupid
如果給出有效的group id�,那么匹配它的進程產(chǎn)生的包。
--sid-owner seessionid
根據(jù)給出的會話組匹配該進程產(chǎn)生的包����。
待續(xù)���。。��。�。。���。
本文來自ChinaUnix博客�,如果查看原文請點:http://blog.chinaunix.net/u/16729/showart_1183543.html |
|
免費注冊
發(fā)表于 2008-09-11 06:52