Общие критерии

Здесь будут рассмотрены общие критерии (таблица 3.7). Общие критерии допустимо употреблять в любых правилах, и они не зависят от типа протокола и не требуют подгрузки модулей расширения.

Критерий	Пример	Описание
-p, --protocol	iptables -A INPUT -p tcp	Этот критерий используется для указания типа протокола. Примерами протоколов могут быть TCP, UDP и ICMP. Список протоколов можно посмотреть в файле /etc/protocols. Прежде всего, в качестве имени протокола в данный критерий можно передавать три вышеупомянутых протокола, а также ключевое слово ALL. В качестве протокола допускается передавать число – номер протокола, так, например, 255 соответствует протоколу RAW IP. Соответствия между номерами протоколов и их именами можно посмотреть в файле /etc/protocols. Если данному критерию передается числовое значение 0, то это эквивалентно использованию спецификатора ALL, который подразумевается по-умолчанию, когда критерий --protocol не используется. Для логической инверсии критерия, перед именем протокола (списком протоколов) используется символ!, например --protocol! tcp подразумевает пакеты любого протокола, кроме tcp.
-s, --src, --source	iptables -A INPUT -s 192.168.1.1	IP-адрес(а) источника пакета. Адрес источника может указываться так, как показано в примере, тогда подразумевается единственный IP-адрес. А можно указать адрес в виде address/mask, например как 192.168.0.0/255.255.255.0, или более современным способом 192.168.0.0/24, то есть фактически определяя диапазон адресов Как и ранее, символ!, установленный перед адресом, означает логическое отрицание, то есть --source! 192.168.0.0/24 означает любой адрес кроме адресов 192.168.0.x
-d, --dst, --destination	iptables -A INPUT -d 192.168.1.1	IP-адрес(а) получателя. Имеет синтаксис схожий с критерием --source, за исключением того, что подразумевает адрес места назначения. Точно так же может определять как единственный IP-адрес, так и диапазон адресов. Символ! используется для логической инверсии критерия.
-i, --in-interface	iptables -A INPUT –I eth0	Интерфейс, с которого был получен пакет. Использование этого критерия допускается только в цепочках INPUT, FORWARD и PREROUTING, в любых других случаях будет вызывать сообщение об ошибке. При отсутствии этого критерия предполагается любой интерфейс, что равносильно использованию критерия -i +. Как и прежде, символ! инвертирует результат совпадения. Если имя интерфейса завершается символом +, то критерий задает все интерфейсы, начинающиеся с заданной строки, например -i PPP+ обозначает любой PPP интерфейс, а запись -i! eth+ – любой интерфейс, кроме любого eth.
-o, --out-interface	iptables -A FORWARD -o eth0	Задает имя выходного интерфейса. Этот критерий допускается использовать только в цепочках OUTPUT, FORWARD и POSTROUTING, в противном случае будет генерироваться сообщение об ошибке. При отсутствии этого критерия предполагается любой интерфейс, что равносильно использованию критерия -o +. Как и прежде, символ! инвертирует результат совпадения. Если имя интерфейса завершается символом +, то критерий задает все интерфейсы, начинающиеся с заданной строки, например -o eth+ обозначает любой eth интерфейс, а запись -o! eth+ – любой интерфейс, кроме любого eth.
-f, --fragment	iptables -A INPUT -f	Правило распространяется на все фрагменты фрагментированного пакета, кроме первого, сделано это потому, что нет возможности определить исходящий/входящий порт для фрагмента пакета, а для ICMP-пакетов определить их тип. С помощью фрагментированных пакетов могут производиться атаки на ваш МСЭ, так как фрагменты пакетов могут не отлавливаться другими правилами. Как и раньше, допускается использования символа! для инверсии результата сравнения, только в данном случае символ! должен предшествовать критерию -f, например! -f. Инверсия критерия трактуется как «все первые фрагменты фрагментированных пакетов и/или нефрагментированные пакеты, но не вторые и последующие фрагменты фрагментированных пакетов».