特别说明:此系列博文根据 朱双印博客-iptables系列博文,个人实践后总结,此为个人笔记精简版,更通俗易懂请参考 朱双印博客-iptables系列博文 原文内容,诸君必能有所收获

06 IPtables扩展匹配条件之 “-tcp-flags”

对于tcp扩展模块,我们已经总结了 --sport 和 --dport 选项,其实还有 --tcp-flags 选项,其主要作用是匹配tcp报文的头部的标识位,以此作为匹配条件去触发动作

在使用iptables的tcp扩展的 --tcp-flags 选项时,可对tcp报文中的 TCP Flags 区域进行匹配;其中该区域有不同的标志位,判断指定的标志位的值是否为 “1”,即可判断是否满足匹配条件

在TCP建立连接的时候,需要先进行三次握手,而三次握手就是需要依靠TCP头部的 TCP Flags区域的标志位进行的

比如ssh连接的过程,在第一次握手的时候,tcp头部标志位,只有SYN位被标识位1,其他标志位均为0,如果我们使用抓包工具抓包数据的话,就会看到 “[TCP Flags:···········S· ]”,其中的 "S"就标识SYN位,整体表示只有SYN标识位为1;在第二次握手,即服务端返回报文回应请求后,会将自己的tcp头部SYN标识位设置为1,将ACK标识位也设置为1,此时,如果使用抓包工具,会看到 “[TCP Flags:········A··S·]” ,表示只有SYN和ACK标识位为1

此时我们再来看tcp扩展模块的 --tcp-flags选项,如果我们想匹配第一次握手的报文,则可以使用以下命令:

iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

上述规则中,–tcp-flags选项后的内容是什么呢?我们看到有很多标识位的符号,这些符号就是我们需要去匹配的内容,而上述规则,需要分为 “SYN,ACK,FIN,RST,URG,PSH” 和 “SYN” 两部分

第一部分的内容表示我们需要匹配数据报文中的哪些标识位,如上述规则列出了一系列的标识位符号,那么该规则就只会去匹配含有这些标识位的报文

第二部分的内容表示在第一部分的这些标识位中那个标识位的值必须为1,如上述规则中 “SYN” 值就必须为1才满足匹配条件,其余的标识位就需要为0

这样,是不是清楚了点,如果我们想匹配第二次握手,可以这样

iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

表示匹配的标识位中,SYN和ACK标识位的值必须为1才满足匹配条件

如果觉得每次都要把第一部分的所有标识位列出很麻烦,可以使用 ALL 来代替第一部分,即

iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT

最后, tcp扩展模块还提供了一个专门选项去匹配tcp的第一次握手,那就是 --syn 选项,使用该选项和前面的匹配第一次握手的规则效果相同

iptables -I INPUT -p tcp -m tcp --dport 22 --syn -j REJECT【Iptables】iptables目录【Iptables】07 IPtables扩展匹配条件之UDP扩展与ICMP扩展