在iptables（一）中已经介绍了 iptables 的表、链的概念和关系，以及表的基本操作。
本次 iptables（二）中将介绍iptables 的匹配方式和常用的扩展模块。

一、基本匹配

基本匹配条件：原地址 Source IP 和 目标地址 Destination IP

1. 使用-s参数时批量添加 ip

示例：

root@kvm:~# iptables -t filter -I INPUT -s 10.1.1.2,10.1.1.3 -j DROP
root@kvm:~# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 29 packets, 2202 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       10.1.1.3             0.0.0.0/0
    0     0 DROP       all  --  *      *       10.1.1.2             0.0.0.0/0
    5   420 DROP       all  --  *      *       192.168.55.132       0.0.0.0/0

-s添加多个 IP 时中间使用逗号","分割即可

2. 使用-s参数添加网段

示例：

root@kvm:~# iptables -t filter -I INPUT -s 10.1.2.0/10 -j ACCEPT
root@kvm:~# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 9 packets, 636 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       10.0.0.0/10          0.0.0.0/0
    0     0 DROP       all  --  *      *       10.1.1.3             0.0.0.0/0
    0     0 DROP       all  --  *      *       10.1.1.2             0.0.0.0/0
    5   420 DROP       all  --  *      *       192.168.55.132       0.0.0.0/0

3. 使用-s时可以对条件取反，在-s前添加叹号"!"即可

示例：

root@kvm:~# iptables -t filter -I INPUT ! -s 10.1.1.2 -j ACCEPT
root@kvm:~# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   13   932 ACCEPT     all  --  *      *      !10.1.1.2             0.0.0.0/0

• 规则解释：
  规则的意思只要报文原地址不是10.1.1.2都接受。

现在使用10.1.1.2去 ping iptables测试机发现是可以 ping 通的。

因为没有规则说明当 ip 地址是10.1.1.2的时候去做什么动作，所以当10.1.1.2通过 INPUT 链时，是找不到相应规则的，它执行的是filter 表 INPUT 链默认ACCEPT规则。

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

也就是说当你的filter 表 INPUT 链默认是 DROP 时，10.1.1.2的机器将不能 ping 通本机。

• 错误理解：
  只要报文原地址是10.1.1.2就不接受。这样理解是不对的

4. 使用-d参数定制目标 IP 地址规则

示例：

iptables 测试机 ip 信息

root@kvm:~# ifconfig | awk '/inet addr/{print $1,$2}'
inet addr:192.168.55.128
inet addr:192.168.55.129
inet addr:192.168.55.130
inet addr:127.0.0.1
inet addr:10.0.80.1

添加禁止192.168.55.132地址到192.168.55.128地址的数据请求

root@kvm:~# iptables -t filter -I INPUT -s 192.168.55.132 -d 192.168.55.128 -j DROP
root@kvm:~# iptables -vnL INPUT
Chain INPUT (policy ACCEPT 82 packets, 6368 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   168 DROP       all  --  *      *       192.168.55.132       192.168.55.128

-s与-d是与的关系，如下例：
只有从192.168.55.132地址到192.168.55.128地址的数据才被接受

root@kvm:~# iptables -t filter -I INPUT -s 192.168.55.132 -d 192.168.55.128 -j ACCEPT

5. 使用-p参数定制协议类型规则

示例：
添加禁止192.168.55.132地址到192.168.55.128地址 tcp 数据请求

root@kvm:~# iptables -t filter -I INPUT -s 192.168.55.128 -d 192.168.55.129 -p tcp -j REJECT
root@kvm:~# iptables -vnL INPUT
Chain INPUT (policy ACCEPT 7 packets, 488 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     tcp  --  *      *       192.168.55.128       192.168.55.129       reject-with icmp-port-unreachable

6. 使用-i参数定制网卡接口规则

• -i只能用于 PREROUTING、 INPUT、 FORWARD 这三个链，因为只有这三个链可以判断数据从那个网卡流入

iptables -t filter -I INPUT -i eth2 -p icmp -j DROP

• -o只能用于 FORWARD、 OUTPUT、 POSTROUTING这三个链，因为只有这三个链可以判断数据从那个网卡流出

iptables -t filter -I INPUT -o eth2 -p icmp -j DROP

二、 扩展匹配

扩展条件是netfilter 中的一部分，只是以模块的形式存在，要使用这个，则需要指定依赖模块。

iptables 指定模块参数：

1. TCP模块端口规则

参数说明

参数 --tcp-flags
示例：

# iptables -f filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
# iptables -f filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL  SYN -j REJECT

--tcp-flags中有两部分：

1. “SYN,ACK,FIN,RST,URG,PSH ”： 需要匹配的标志位列表
2. “SYN”：在第一部分 “SYN,ACK,FIN,RST,URG,PSH ”中 SYN 值必须是1，其他标志位必须是0

上面两种写法是一样的。

2. multiport模块

指定一个连续不到的的端口

参数说明

3. iprange 模块

指定一个连续的IP地址范围

参数说明

在--src-range或--dst-range这个前面加"!"可以取反

4. stging 模块

可以指定要匹配的字符串，如果报文中包含对应的字符串，则复合匹配条件。

参数说明：

5. time模块

可以根据时间段去匹配报文，如果报文到达的时间在指定的时间范围以内，则符合匹配条件

参数说明：

• --weekdays和--monthdays联合使用

#iptables -t filter -I INPUT -p tcp --doprt 80 -m time --weekdays 5 --monthdays 10,11,12,13,14,15,16 -j DREP

表示只有在周五是10~16号时拒绝访问

• --weekdays和--monthdays 也可以使用"!"取反。

6. connlimit模块

可以限制每个IP 地址同时连接到 server 端的连接数量。
不指定 IP 则表示，是针对每个请求 IP进行限制

参数说明：

7. limit模块

可以限制单位时间内流入包的数量
可以用秒、分、小时、天作为单位进行限制

参数说明：

• --limit示例

首先添加一个每分钟只允许10次 ping 的规则。也就是每6秒放行一个包。

root@kvm:~# iptables -t filter -I INPUT -p icmp -m limit --limit 10/minute -j ACCEPT
root@kvm:~# iptables -vnL NIPUT
Chain INPUT (policy ACCEPT 14 packets, 1057 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 10/min burst 5

然后在一台机器上 ping 这个 iptables 测试机。会发现 ping 这个完全不受影响。

实际上被放行的规则已经和定义的规则匹配上，为什么不应该放行的规则被放行了呢？因为被表的默认规则匹配到了，且默认规则正好是 ACCEPT，所以相当于所有的 ping 都被放行了。

解决办法，修改表中链的默认规则，或者添加一个新的规则来匹配其他 ping；

root@kvm:~# iptables -t filter -A INPUT -p icmp -j REJECT
root@kvm:~# iptables -vnL
Chain INPUT (policy ACCEPT 11 packets, 784 bytes)
 pkts bytes target     prot opt in     out     source               destination
    8   672 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 10/min burst 5
    0     0 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

再次 ping iptables 测试机是发现前5个ping 没有被控制，因为参数--limit-burst默认值是5，提前保留了5个可放行的包数，所以前5个 ping 并不受影响。

8. udp模块

用户匹配 upd 报文的源端口与目标端口

参数说明：

8. icmp模块

icmp 报文类型： （百度百科）

参数说明：