"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

как -source-port 22: , то в качестве конца диапазона принимается число
65535. Допускается такая запись -source-port 80:22 , в этом случае iptables
поменяет числа 22 и 80 местами, т.е. подобного рода запись будет
преобразована в -source-port 22:80 . Как и раньше, символ ! используется для
инверсии. Так критерий -source-port ! 22 подразумевает любой порт, кроме 22.
Инверсия может применяться и к диапазону портов, например -source-port !
22:80.

Критерий: -dport, -destination-port
Пример: iptables -A INPUT -p udp -dport 53
Описание: Порт, на который адресован пакет. Формат аргументов полностью
аналогичен принятому в критерии -source-port.

6.4.2.3. ICMP критерии

Этот протокол используется, как правило, для передачи сообщений об
ошибках и для управления соединением. Он не является подчиненным IP
протоколу, но тесно с ним взаимодействует, поскольку помогает обрабатывать
ошибочные ситуации. Заголовки ICMP пакетов очень похожи на IP заголовки, но
имеют и отличия. Главное свойство этого протокола заключается в типе
заголовка, который содержит информацию о том, что это за пакет. Например,
когда мы пытаемся соединиться с недоступным хостом, то мы получим в ответ
сообщение ICMP host unreachable. Полный список типов ICMP сообщений, вы
можете посмотреть в приложении Типы ICMP. Существует только один специфичный
критерий для ICMP пакетов. Это расширение загружается автоматически, когда
мы указываем критерий -protocol icmp. Заметьте, что для проверки ICMP
пакетов могут употребляться и общие критерии, поскольку известны и адрес
источника и адрес назначения и пр.
Таблица 6-7. ICMP критерии
(Критерий - Пример - Описание)
Критерий: -icmp-type
Пример: iptables -A INPUT -p icmp -icmp-type 8
Описание: Тип сообщения ICMP определяется номером или именем. Числовые
значения определяются в RFC 792. Чтобы получить список имен ICMP значений
выполните команду iptables -protocol icmp -help, или посмотрите приложение
Типы ICMP. Как и ранее, символ ! инвертирует критерий, например -icmp-type !
8.

6.4.3. Явные критерии

Перед использованием этих расширений, они должны быть загружены явно, с
помощью ключа -m или -match. Так, например, если мы собираемся использовать
критерии state, то мы должны явно указать это в строке правила: -m state
левее используемого критерия. Некоторые из этих критериев пока еще находятся
в стадии разработки, а посему могут работать не всегда, однако, в
большинстве случаев, они работают вполне устойчиво. Все отличие между явными
и неявными критериями заключается только в том, что первые нужно подгружать
явно, а вторые подгружаются автоматически.

6.4.3.1. Критерий Limit