"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

Критерий: -o, -out-interface
Пример: iptables -A FORWARD -o eth0
Описание: Задает имя выходного интерфейса. Этот критерий допускается
использовать только в цепочках OUTPUT, FORWARD и POSTROUTING, в противном
случае будет генерироваться сообщение об ошибке. При отсутствии этого
критерия предполагается любой интерфейс, что равносильно использованию
критерия -o +. Как и прежде, символ ! инвертирует результат совпадения. Если
имя интерфейса завершается символом +, то критерий задает все интерфейсы,
начинающиеся с заданной строки, например -o eth+ обозначает любой eth
интерфейс, а запись -o ! eth+ - любой интерфейс, кроме любого eth.

Критерий: -f, -fragment
Пример: iptables -A INPUT -f
Описание: Правило распространяется на все фрагменты фрагментированного
пакета, кроме первого, сделано это потому, что нет возможности определить
исходящий/входящий порт для фрагмента пакета, а для ICMP-пакетов определить
их тип. С помощью фрагментированных пакетов могут производиться атаки на ваш
брандмауэр, так как фрагменты пакетов могут не отлавливаться другими
правилами. Как и раньше, допускается использования символа ! для инверсии
результата сравнения. только в данном случае символ ! должен предшествовать
критерию -f, например ! -f. Инверсия критерия трактуется как "все первые
фрагменты фрагментированных пакетов и/или нефрагментированные пакеты, но не
вторые и последующие фрагменты фрагментированных пакетов".

6.4.2. Неявные критерии

В этом разделе мы рассмотрим неявные критерии, точнее, те критерии,
которые подгружаются неявно и становятся доступны, например при указании
критерия -protocol tcp. На сегодняшний день существует три автоматически
подгружаемых расширения, это TCP критерии, UDP критерии и ICMP критерии(при
построении своих правил я столкнулся с необходимостью явного указания
ключа -m tcp, т.е. о неявности здесь говорить не приходится, поэтому будьте
внимательнее при построении своих правил, если что-то не идет - пробуйте
явно указывать необходимое расширение. прим. перев.). Загрузка этих
расширений может производиться и явным образом с помощью ключа -m, -match,
например -m tcp.

6.4.2.1. TCP критерии

Этот набор критериев зависит от типа протокола и работает только с TCP
пакетами. Чтобы использовать их, вам потребуется в правилах указывать тип
протокола -protocol tcp. Важно: критерий -protocol tcp обязательно должен
стоять перед специфичным критерием. Эти расширения загружаются автоматически
как для tcp протокола, так и для udp и icmp протоколов. (О неявной загрузке
расширений я уже упоминал выше прим. перев.).
Таблица 6-5. TCP критерии
(Критерий - Пример - Описание)

Критерий: -sport, -source-port