>>>、MAC地址匹配。主要用于检查数据包的源MAC地址。在iptables命令中使用“--mac-source MAC地址”的形式。
eg: 禁止转发来自MAC地址为3C-97-0E-77-7F-67(这是我本机的mac)的主机的数据包
1 [root@node1 ~]# iptables -A FORWARD -m mac --mac-source 3C-97-0E-77-7F-67 -j DROP
>>>、多端口匹配。检查数据包的源端口、目标端口时,用于匹配多个不连续的端口号。在iptables命令中主要使用”--dports 端口列表“或者”--sports 端口列表“的形式,分别对应源端口地址列表、目标端口地址列表。 eg :
[root@node1 ~]# iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j 1 ACCEPT
>>>、多IP地址匹配。检查数据包的源地址、目标地址时,用于匹配一段范围内的IP地址。在iptables命令中主要使用”--src-range IP地址范围“或者”--dst-range IP地址范围“的形式,分别对应源IP地址范围、目标ip地址范围。
eg: 禁止转发源IP地址为192.168.1.20~192.168.1.99 的TCP数据包。
1 [root@node1 ~]# iptables -A FORWARD -p tcp -m iprange
--src-range 192.168.1.20-192.168.1.99 -j DROP
>>>、状态匹配。基于iptables的状态跟踪机制,检查数据包的链接状态(State)。常见的数据包状况主要包括NEW(与任何连接无关的)、ESTABLISHED(响应请求或者已建立连接的)和
RELATED(与已有连接有相关性的,如FTP数据连接)。
eg: 禁止转发与正常TCP连接无关的非--syn请求数据包(如网络中可能存在的一些非法攻击数据包)。
1 [root@node1 ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
eg : 拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包。 1
2 [root@node1 ~]# iptables -A INPUT -p tcp -m state --state NEW -j DROP [root@node1 ~]# iptables -A INPUT -p tcp -m state --state
ESTABLISHED,RELATED -j ACCEPT