曲径通幽论坛

标题: --tcp-flags --- 检查 TCP-FLAGS 中的标志 [打印本页]

作者: beyes 时间: 2012-5-19 15:09
标题: --tcp-flags --- 检查 TCP-FLAGS 中的标志
使用 --tcp-flags 选项可以检查 TCP 协议包里 FLAGS 中的各个标志。该选项的用法为：

--tcp-flags mask comp

其中 mask 是要检查的标志列表，各个标志间用逗号隔开；comp 是 mask 中要确定被置位的标志，它们也是用逗号隔开。

1. 检查所有的 TCP FLAGS，并检查 SYN,FIN 这两个标志是否被置位，符合该条件的数据包将被丢弃。

iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j DROP

2. 检查 SYN,ACK,FIN,RST 这几个标志中是否只有 SYN 置位，符合该条件的数据包将被丢弃

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)