iptables常用命令及参数(3

　　摘要：iptables常用命令及参数：iptables是与最新的Linux内核集成的IP信息包过滤系统，它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。本文将简单介绍iptables常用命令及参数。

　　说明这个参数比较特殊，用来匹配源端口和目的端口号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为80目的地端口号为110，这种封包并不算符合条件。

　　范例

　　说明用来匹配某段时间内封包的平均流量，的例子是用来匹配：每小时平均流量是否超过一次3个封包。除了每小时平均次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后：/second、/minute、/day。除了进行封包数量的匹配外，设定这个参数也会在条件达成时，暂停封包的匹配动作，以避免因骇客使用洪水法，导致服务被阻断。

　　范例

　　说明用来匹配瞬间大量封包的数量，的例子是用来匹配一次同时涌入的封包是否超过5个(这是默认值)，超过此上限的封包将被直接丢弃。使用效果同上。

　　范例

　　说明用来匹配封包来源网络接口的硬件地址，这个参数不能用在OUTPUT和POSTROUTING规则链上，这是因为封包要送到网卡后，才能由网卡驱动程序透过ARP通讯协议查出目的地的MAC地址，所以iptables在进行封包匹配时，并不知道封包会送到哪个网络接口去。

　　范例

　　说明用来匹配封包是否被表示某个号码，当封包被匹配成功时，我们可以透过MARK处理动作，将该封包标示一个号码，号码最大不可以超过4294967296。

　　范例

　　说明用来匹配来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用root或其它身分将数据传送出，可以降低系统被骇的损失。可惜这个功能无法匹配出来自其它主机的封包。

　　范例

　　INVALID表示该封包的连接编号(SessionID)无法辨识或编号不正确。

　　ESTABLISHED表示该封包属于某个已经建立的连接。

　　NEW表示该封包想要起始一个连接(重设连接或将连接重导向)。

　　RELATED表示该封包是属于某个已经建立的连接，所建立的新连接。例如：FTP-DATA连接必定是源自某个FTP连接。

　　ACCEPT：将封包放行，进行完此处理动作后，将不再匹配其它规则，直接跳往下一个规则链(natostrouting)。

　　REJECT：该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMPport-unreachable、ICMPecho-reply或是tcp-reset(这个封包会要求对方关闭连接)，进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。范例如下：

　　DROP：丢弃封包不予处理，进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。

　　REDIRECT：将封包重新导向到另一个端口(PNAT)，进行完此处理动作后，