Linux防火墙iptables(下）

一、通用匹配

1，协议匹配

2，地址匹配

 3，接口匹配

二、隐含匹配

1.端口匹配 

 2，TCP标志位匹配

 3，ICMP类型匹配

ICMP类型可以是字符串、数字代码

ICMP类型	含义
Echo-Request （代码为8）	表示请求
Echo- -Reply （代码为0）	表示回显
Dest ination-Unreachable （代码为3）	表示目标不可达

 

 4，回显匹配

 三、显示匹配

要求以“-m扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

 1，多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

2，IP范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

3，MAC匹配

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC地址的数据包通过本机转发

-m mac -- -mac- source MAC地址 

4，状态匹配

-m state --state连接状态

常见的连接状态

状态	含义
NEW	主机连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED	主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态
RELATED	主机已与目标主机进行通信，目标主机发起新的链接方式，一般与ESTABLISHED 配合使用
INVALID	无效的封包，例如数据破损的封包状态