iptables(6)扩展匹配条件--tcp-flags、icmp

简介

        前面我们已经介绍了不少的扩展模块，例如multiport、iprange、string、time、connlimit模块，但是在tcp扩展模块中只介绍了tcp扩展模块中的”--sport”与--dport”选项，并没有介绍”--tcp-flags”选项，那么这篇文章，我们就来认识一下tcp扩展模块中的”--tcp-flags”和icmp。

--tcp-flags

TCP报文介绍

”--tcp-flags”指的就是tcp头中的标志位，在使用iptables时，我们可以通过此扩展匹配条件，去匹配tcp报文的头部的标识位，然后根据标识位的实际情况实现访问控制的功能。

那我们来看下tcp的报头结构

标志符（9比特长）
NS—ECN-nonce。ECN显式拥塞通知（Explicit Congestion Notification）是对TCP的扩展，定义于 RFC 3540 （2003）。ECN允许拥塞控制的端对端通知而避免丢包。ECN为一项可选功能，如果底层网络设施支持，则可能被启用ECN的两个端点使用。在ECN成功协商的情况下，ECN感知路由器可以在IP头中设置一个标记来代替丢弃数据包，以标明阻塞即将发生。数据包的接收端回应发送端的表示，降低其传输速率，就如同在往常中检测到包丢失那样。
CWR—Congestion Window Reduced，定义于 RFC 3168（2001）。
ECE—ECN-Echo有两种意思，取决于SYN标志的值，定义于 RFC 3168（2001）。
URG—为1表示高优先级数据包，紧急指针字段有效。
ACK—为1表示确认号字段有效
PSH—为1表示是带有PUSH标志的数据，指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲区装满。
RST—为1表示出现严重差错。可能需要重新建立TCP连接。还可以用于拒绝非法的报文段和拒绝连接请求。
SYN—为1表示这是连接请求或是连接接受请求，用于建立连接和使顺序号同步
FIN—为1表示发送方没有数据要传输了，要求释放连接。

 在使用iptables时，使用tcp扩展模块的”–tcp-flags”选项，即可对上图中的标志位进行匹配，判断指定的标志位的值是否为”1″，在tcp协议建立连接的过程中，需要先进行三次握手，而三次握手就要依靠tcp头中的标志位进行。

TCP三次握手过程

1. 客户端（通过执行connect函数）向服务器端发送一个SYN包，请求一个主动打开。该包携带客户端为这个连接请求而设定的随机数A作为消息序列号。
2. 服务器端收到一个合法的SYN包后，把该包放入SYN队列中；回送一个SYN/ACK。ACK的确认码应为A+1，SYN/ACK包本身携带一个随机产生的序号B。
3. 客户端收到SYN/ACK包后，发送一个ACK包，该包的序号被设定为A+1，而ACK的确认码则为B+1。然后客户端的connect函数成功返回。当服务器端收到这个ACK包的时候，把请求帧从S