使用iptables建置Linux 防火墙(1)

　　参数 --dport, --destination-port

　　范例 iptables -A INPUT -p tcp --dport 22

　　说明 用来比对封包的目的地埠号，设定方式同上。

　　参数 --tcp-flags

　　范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

　　说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用 ! 运算子进行反向比对。

　　参数 --syn

　　范例 iptables -p tcp --syn

　　说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。

　　参数 -m multiport --source-port

　　范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110

　　说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 运算子进行反向比对。

　　参数 -m multiport --destination-port

　　范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110

　　说明 用来比对不连续的多个目的地埠号，设定方式同上。

　　参数 -m multiport --port

　　范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110

　　说明 这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80 但目的地埠号为 110，这种封包并不算符合条件。