--tcp-flags --- 检查 TCP-FLAGS 中的标志

beyes

使用 --tcp-flags 选项可以检查 TCP 协议包里 FLAGS 中的各个标志。该选项的用法为：

--tcp-flags mask comp

其中 mask 是要检查的标志列表，各个标志间用逗号隔开；comp 是 mask 中要确定被置位的标志，它们也是用逗号隔开。

1. 检查所有的 TCP FLAGS，并检查 SYN,FIN 这两个标志是否被置位，符合该条件的数据包将被丢弃。

iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j DROP

2. 检查 SYN,ACK,FIN,RST 这几个标志中是否只有 SYN 置位，符合该条件的数据包将被丢弃

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP