パラメータ-pは、--protocol
の例では、TCPが-p -A INPUT iptablesの
プロトコルタイプは、一貫性のある試合をすることができている説明オペレータの逆試合は、例えば:!
!-P TCPの
間を意味するとして、TCP以外のタイプをUDP、ICMP ...というように。
あなたはすべてのタイプを一致させたい場合は、使用することができ、たとえば、すべてのキーワードを:
-pすべて
パラメータ-s、--src、--source
例のiptables -A INPUTが192.168.1.1 -s
ソースがパケット一致させるために使用されるIPアドレスを、スタンドアロンまたはマッチングネットワークであってもよい、サブネットマスク場合に整合ネットワーク上の番号、例えば:
192.168.0.0/24 -s
マッチングがIPの場合に使用することができるオペレータの逆マッチが、例えば:!
192.168.0.0/24を-s!
パラメータ-dは、--dst、--destination
例は、-A INPUT -d 192.168.1.1 iptablesの
パケットの宛先と一致するように説明したIP、上記設定モード。
パラメータ-iは、--in-インタフェース
パラダイムが-A INPUT -i eth0のiptablesの
説明は、ネットワークカードがワイルドカード文字を使用することができ、そこからパケット入る一致させるために使用される+を、例えば、広い範囲に一致しない:
-i +のEthは
全て表しイーサネットカードを
使用することもできる演算子は、例えば、試合を逆転:!
-i eth0のを!
パラメータ-o、--out-インタフェース
パラダイムは-A FORWARDをiptablesの-o eth0の
設定モード上記から送信されたパケットに一致するネットワークカード説明。
パラメータは--sourceポート、--sport
例のiptablesが-A TCP -p INPUT 22 --sport
:パケット・マッチングに対する記述元ポートを、例えば、シングルポート、または範囲を一致させることができる
十時八十午後は--sport
表します22へのあなたは、あなたが使用しなければならない個別の複数のポートを一致させたい場合は80ポートは、適格と見なされたパラメータを--multiport、後で参照してください。ポート番号をマッチング、あなたを使用することができる!オペレータ逆試合。
パラメータは、--destinationポート--dport
例TCP -p INPUT 22は--dport -A iptablesの
同書の設定、パケットの宛先ポート番号と一致するように説明しました
パラメータ--tcp-フラグ
例のiptables -p TCPの--tcp-フラグSYN、 FIN、ACK SYNが
一致説明TCPパケットステータスフラグを、二つの部分、最初の部分に分割パラメータは、フラグに一致する第二を含みます一部のフラグが設定された例示され、フラグが空で含んではなりません。TCP状態フラグは、次のとおりSYN(同期)、ACK(応答)、FIN(終了)RST(リセット)、URG(緊急)、PSH(プッシュ強制)を加えて、他のパラメータで使用することができるもですキーワードを使用ALLとNONEの試合を。マッチフラグを使用することができる!演算子は、マッチラインを逆転します。
パラメータ--syn
例--syn TCP -p iptablesを
示す説明TCP通信プロトコルは、SYNビットがオンし、ACKとFINパケットは、閉位置、すなわちとの初期のTCP接続のiptables -p TCP --tcp-フラグSYN、同じFIN、ACK SYNの役割、あれば!演算子は、非接続パケットの要件を満たすために使用することができます。
パラメータ-mマルチ--sourceポート
例TCP -mマルチポート--source -p -A入力をiptablesの 22,53,80,110 -port
つに一致させることができ、不連続送信元ポート、複数の一致する記述、15個のポート使用できる!オペレータ逆試合。
パラメータ-mマルチ--destinationポート
例はiptables -A TCP -mマルチポート--destination -p INPUT 22,53,80,110 -port
同書を設定不連続宛先ポート番号の複数と一致する説明、
パラメータ-mマルチ--port
例のiptablesは-A --portのTCP -mマルチポート-p INPUT 22,53,80,110は、
同じパケットが、設定同書を送信元と宛先ポート番号と一致するため、この特別なパラメータを示します。注:送信元ポート番号である場合は、この例では、80宛先ポート番号110、このパケットは対象外です。
パラメータ--icmp型
サンプルのiptablesは-A INPUT -p ICMP --icmp型 8
一致するように指示ICMPタイプ番号、IDコードまたは番号を一致させるために使用することができます。電話してください利用可能なもののコードを参照するためにはiptables -p ICMP --helpを。
パラメータ--limit -m制限
例はiptables -A INPUT -m限界--limit 3 /時間
の時間の平均一定期間に一致するパケットの記載の流れは、上記の例を一致させるために使用されている。回以上の平均毎時流量か3パケット。毎秒毎時間外加算平均、することができ、毎分、または1日1回平均で、このようなパラメータhの値として、平均一次デフォルト:/ SECOND、/分、/日。条件が満たされたときに試合のパケット数に加えて、このパラメータの設定は、サービスが得られ、この方法を使用してハッカーの攻撃に起因する洪水を避けるために、パケットを照合する動作を停止する、となりますブロックされています。
パラメータ--limitバースト
例のiptables -A INPUT -m制限--limitバースト 5
インスタント多くと一致するパケットの数は、上記の例では、流入を超えている間、パケットを一致させるために使用されていること。5番目(これはデフォルト)、パケットの上限は破棄されます超えています。効果同上を使用してください。
パラメータ-m MAC --macソースの
例は、MAC --macソース-m -A入力をiptablesの 00:00:00:00:00 01
ネットワークインターフェースハードウェアアドレスと一致するように説明パケット・ソースは、このパラメータを使用することができませんOUTPUTとパケットがNICドライバを通過するためには、カードに送信されるので、POSTROUTINGチェーンルール、これは先ARPプロトコル見つかったMACアドレスをので、試合中のiptablesのパケットは、パケットを知らなかったに送信されますどのネットワークインタフェース行くことに。
パラメータ--mark
例のiptablesは--markマングル-A入力-mマークを-t 1
パケットは、パケットが正常に一致したとき、示される数を一致させるために使用されているかどうかを説明し、我々は透過性パケットマーキング、MARK処理動作を数が、最大数が超えることができない4294967296を。
パラメータ-m所有者--uid所有者の
例は、-A OUTPUT -m所有者は、所有者に--uid iptablesの 500個の特定のユーザによって生成されたかどうか、マシンからのパケットと一致する命令を、サーバは、避けるために使用するルートを、または他の要因、その機密データの転送は、システムは、驚愕の損失を低減することができます。残念ながら、この機能は他のホストからのパケットと一致していません。
パラメータ-m所有者--gid所有者
の例は、-m所有者は、所有者が--gid -A OUTPUT iptablesの 0
ユーザの特定のグループ、時刻前出の使用によって発生するかどうか、マシンからのパケットを一致させる命令を。
パラメータ-m所有者--pidオーナー
例-A OUTPUTの-m所有者は--pid所有者のiptables 78を特定のプロセス、時間上掲の使用によって発生するかどうか、マシンからのパケットに一致するように説明しました。
パラメータ-m所有者--sid所有者
の例では、-A OUTPUTの-mの所有者は--sid所有者をiptablesの 100の命令、マシンからのパケットと一致するかどうかを特定の接続(応答パケットのセッションID)、時間上掲の使用。
パラメータ-m状態--state
例のiptablesは-A INPUT -m状態は、関連する--state ESTABLISHED 相手コネクタにこの状態を、4つの接続ステータスがありますINVALID、ESTABLISHED、NEW及び関連。INVALIDは、パケット接続ID(ことを示しているセッションID)番号が正しくないか、認識されません。ESTABLISHEDは、パケットが確立された接続に属していることを意味します。NEWは、パケットが(リダイレクトまたは接続されるリセット)接続を開始したい示します。RELATEDパケットは、確立された接続が確立された新しい接続の一部であることを意味します。例:FTP接続は、DATA-から派生しなければならないFTP接続。