"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

Пример: iptables -A INPUT -p tcp -sport 22
Описание: Исходный порт, с которого был отправлен пакет. В качестве
параметра может указываться номер порта или название сетевой службы.
Соответствие имен сервисов и номеров портов вы сможете найти в файле
/etc/services. При указании номеров портов правила отрабатывают несколько
быстрее. однако это менее удобно при разборе листингов скриптов. Если же вы
собираетесь создавать значительные по объему наборы правил, скажем порядка
нескольких сотен и более, то тут предпочтительнее использовать номера
портов. Номера портов могут задаваться в виде интервала из минимального и
максимального номеров, например -source-port 22:80. Если опускается
минимальный порт, т.е. когда критерий записывается как -source-port :80, то
в качестве начала диапазона принимается число 0. Если опускается
максимальный порт, т.е. когда критерий записывается как -source-port 22:, то
в качестве конца диапазона принимается число 65535. Допускается такая
запись -source-port 80:22, в этом случае iptables поменяет числа 22 и 80
местами, т.е. подобного рода запись будет преобразована в -source-port
22:80. Как и раньше, символ ! используется для инверсии. Так
критерий -source-port ! 22 подразумевает любой порт, кроме 22. Инверсия
может применяться и к диапазону портов, например -source-port ! 22:80. За
дополнительной информацией обращайтесь к описанию критерия multiport.

Критерий: -dport, -destination-port
Пример: iptables -A INPUT -p tcp -dport 22
Описание: Порт или диапазон портов, на который адресован пакет.
Аргументы задаются в том же формате, что и для -source-port.

Критерий: -tcp-flags
Пример: iptables -p tcp -tcp-flags SYN,FIN,ACK SYN
Описание: Определяет маску и флаги tcp-пакета. Пакет считается
удовлетворяющим критерию, если из перечисленных флагов в первом списке в
единичное состояние установлены флаги из второго списка. Так для
вышеуказанного примера под критерий подпадают пакеты у которых флаг SYN
установлен, а флаги FIN и ACK сброшены. В качестве аргументов критерия могут
выступать флаги SYN, ACK, FIN, RST, URG, PSH, а так же зарезервированные
идентификаторы ALL и NONE. ALL - значит ВСЕ флаги и NONE - НИ ОДИН флаг.
Так, критерий -tcp-flags ALL NONE означает - "все флаги в пакете должны быть
сброшены". Как и ранее, символ ! означает инверсию критерия Важно: имена
флагов в каждом списке должны разделяться запятыми, пробелы служат для
разделения списков.

Критерий: -syn
Пример: iptables -p tcp -syn
Описание: Критерий -syn является по сути реликтом, перекочевавшим из
ipchains. Критерию соответствуют пакеты с установленным флагом SYN и
сброшенными флагами ACK и FIN. Этот критерий аналогичен критерию -tcp-flags
SYN,ACK,FIN SYN. Такие пакеты используются для открытия соединения TCP.
Заблокировав такие пакеты, вы надежно заблокируете все входящие запросы на
соединение, однако этот критерий не способен заблокировать исходящие запросы
на соединение. Как и ранее, допускается инвертирование критерия символом !.
Так критерий ! -syn означает - "все пакеты, не являющиеся запросом на