基于Linux系统的包过滤防火墙(2)

核心提示： #iptables -A INPUT -p tcp-tcp-flags SYN,FIN,ACK SYN表示SYN、ACK、FIN的标志都要被检查，但是只有设置了SYN的才匹配，基于Linux系统的包过滤防火墙(2)(9)，#iptables -A INPUT -p tcp-tcp-flag

#iptables -A INPUT -p tcp-tcp-flags SYN,FIN,ACK SYN

表示SYN、ACK、FIN的标志都要被检查，但是只有设置了SYN的才匹配。

#iptables -A INPUT -p tcp-tcp-flags ALL SYN,ACK

表示ALL（SYN,ACK,FIN,RST,URG,PSH）的标志都要被检查，但是只有设置了SYN和ACK的才匹配。

选项-syn是以上的一种特殊情况，相当于“--tcp-flags SYN,RST,ACK SYN“的简写。

#iptables -p tc-syn

(3)limit速率匹配扩展。

1）指定单位时间内允许通过的数据包的个数。

单位时间可以是/second、/minute、/hour、/day或使用第一个字母。例如：

#iptables -A INPUT -m limit-limit 300/hour

表示限制每小时允许通过300个数据包。

2）指定触发事件的阀值。

使用-limit-burst指定触发事件的阀值（默认是5），用来比对瞬间大量数据包的数量。

#iptables -A INPUT -m limit-limit-burst 10

上面的例子是用来比对一次同时涌入的封包是否超过10个，超过此上限的包将被直接丢弃。

3）同时指定速率限制和触发阀值。

#iptables -A INPUT -p icmp -m limit-limit 3/m-limit-burst 3

假设均匀通过，平均每分钟3个，那么触发阀值burst保持为3个，如果每分钟通过的包的数目小于3，那么触发阀值burst将在每个周期（若每分钟允许通过3个，则周期数为20秒）后加1，但最大值为3。每分钟要通过的包的数量如果超过3，那么触发阀值burst将减掉超出的数值，例如第二分钟有4个包，那么触发阀值burst变成2，同时4个包都可以通过，第三分钟有6个包，则只能通过5个，触发阀值burst将变成0。之后，每分钟如果包数小于等于3，则触发阀值burst将加1，如果每分钟包数大于3，触发阀值burst将逐渐减小最终维持为0。