Iptables 指南 1.1.19(中文版)(二)

， ACK，FIN，RST ，URG，PSH。另外更有两个词也可使用，就是ALL和NONE。顾名思义，ALL是指选定任何的标记，NONE是指未选定任何标记。这个匹配也可在参数前加英文的感叹号表示取反。例如：

1、iptables -p tcp --tcp-flags SYN,FIN,ACK SYN表示匹配那些SYN标记被配置而FIN和ACK标记没有配置的包，注意各标记之间只有一个逗号而没有空格。

2、--tcp-flags ALL NONE匹配任何标记都未置1的包。

3、iptables -p tcp --tcp-flags ! SYN,FIN,ACK SYN表示匹配那些FIN和ACK标记被配置而SYN标记没有配置的包，注意和例1比较一下。

Match--synExampleiptables -p tcp --synExplanation这个匹配或多或少算是ipchains时代的遗留物，之所以还保留他，是为了向后兼容，也是为了方便规则在iptables和ipchains间的转换。他匹配那些SYN标记被配置而 ACK和RST标记没有配置的包，这和iptables -p tcp --tcp-flags SYN,RST,ACK SYN 的作用毫无二样。这样的包主要用在TCP连接初始化时发出请求。假如您阻止了这样的包，也就阻止了任何由外向内的连接企图，这在一定程度上防止了一些攻击。但外出的连接不受影响，恰恰现在有很多攻击就利用这一点。比如有些攻击黑掉服务器之后安装会一些软件，他们能够利用已存的连接到达您的机子，而不要再新开一个端口。这个匹配也可用英文感叹号取反，如：! --syn用来匹配那些 RST或ACK被置位的包，换句话说，就是状态为已建立的连接的包。Match--tcp-optionExampleiptables -p tcp --tcp-option 16Explanation根据匹配包。TCP选项是TCP头中的特别部分，有三个不同的部分。第一个8位组表示选项的类型，第二个8位组表示选项的长度（这个长度是整个选项的长度，但不包含填充部分所占的字节，而且要注意不是每个TCP选项都有这一部分的），第三部分当然就是选项的内容了。为了适应标准，我们不必执行任何的选项，但我们能够查看选项的类型，假如不是我们所支持的，那就只是看看长度然后跳过数据部分。这个操作是根据选项的十进制值来匹配的，他也能够用英文感叹号取反。任何的选项都可在Internet Engineering Task Force里找到。