使用iptables建置Linux 防火墙(7)

　　说明 用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时也可以使用 ! 运算子进行反向比对，例如：-s ! 192.168.0.0/24。

　　参数 -d, --dst, --destination

　　范例 iptables -A INPUT -d 192.168.1.1

　　说明 用来比对封包的目的地 IP，设定方式同上。

　　参数 -i, --in-interface

　　范例 iptables -A INPUT -i eth0

　　说明 用来比对封包是从哪片网卡进入，可以使用通配字符 + 来做大范围比对，例如：-i eth+ 表示所有的 ethernet 网卡，也可以使用 ! 运算子进行反向比对，例如：-i ! eth0。

　　参数 -o, --out-interface

　　范例 iptables -A FORWARD -o eth0

　　说明 用来比对封包要从哪片网卡送出，设定方式同上。

　　参数 --sport, --source-port

　　范例 iptables -A INPUT -p tcp --sport 22

　　说明 用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：--sport 22:80，表示从 22 到 80 埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用 --multiport 参数，详见后文。比对埠号时，可以使用 ! 运算子进行反向比对。

　　参数 --dport, --destination-port

　　范例 iptables -A INPUT -p tcp --dport 22

　　说明 用来比对封包的目的地埠号，设定方式同上。

　　参数 --tcp-flags

　　范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

　　说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用 ! 运算子进行反向比对。

　　参数 --syn

　　范例 iptables -p tcp --syn

　　说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。

　　参数 -m multiport --source-port

　　范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110

　　说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 运算子进行反向比对。

　　参数 -m multiport --destination-port

　　范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110

　　说明 用来比对不连续的多个目的地埠号，设定方式同上。

　　参数 -m multiport --port

　　范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110