1.multiport

iptables -I INPUT -s 172.16.0.0/16 -d 172.16.6.14 -p tcp -m multiport --dport 22,80 -j ACCEPT

iptables -I OUTPUT -d 172.16.0.0/16 -s 172.16.6.14 -p tcp -m multiport --dport 22,80 -j ACCEPT

2.iprange扩展

指明连续的（但一般是不能扩展整个网络）ip地址范围时使用

iptables -I INPUT -d 172.16.6.14 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 172.16.6.1-172.16.6.100 -j ACCEPT

iptables -I OUTPUT -s 172.16.6.14 -p tcp -m multiport --sports 22:23,80 -m iprange --dst-range 172.16.6.1-172.16.6.100 -j ACCEPT

3.string扩展

检测报文中出现的字符串：

--algo：bm或kmp

iptables -I OUTPUT -m string --algo bm --string 'test' -j REJECT

4、time扩展

根据报文到达的时间与指定的时间范围进行匹配；

--datestart

--datestop

--timestart

--timestop

--monthdays

--weekdays

5、connlimit扩展

根据每客户端IP（也可以是地址块）做并发连接数数量匹配；

--connlimit-above n：连接的数量大于n

--connlimit-upto n: 连接的数量小于等于n

6、limit扩展

基于收发报文的速率做检查；

令牌桶过滤器

--limit rate[/second|/minute|/hour|/day]

--limit-burst number

7、state扩展

根据连接追踪机制检查连接的状态；

调整连接追踪功能所能够容纳的最大连接数量：

/proc/sys/net/nf_conntrack_max

已经追踪到并记录下的连接：

/proc/net/nf_conntrack

不同协议或连接类型追的时长：

/proc/sys/net/netfilter/

可追踪的连接状态：

NEW：新发出的请求；连接追踪模板中不存此连接相关的信息条目，因此，将其识别为第一次发出的请求；

ESTABLISHED：NEW状态之后，连接追踪模板中为其建立的条目失效之前期间内所进行的通信的状态；

RELATED：相关的连接；如ftp协议的命令连接与数据连接之间的关系；

INVALIED：无法识别的连接；

--state STATE1,STATE2,...

问题：如何开放被动模式的ftp服务？

(1) 装载ftp追踪时的专用的模块:

# modprobe nf_conntrack_ftp

(2) 放行请求报文：

命令连接：NEW, ESTABLISHED

数据连接：RELATED, ESTABLISHED

# iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

(3) 放行响应报文：

ESTABLISEHD

# iptables -A OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT

如何保存及重载规则：

保存规则至指定文件：

iptables-save > /PATH/TO/SOMEFILE

从指定文件重载规则：

iptables-restore < /PATH/FROM/SOMEFILE

CentOS 6:

service iptables save

iptables-save > /etc/sysconfig/iptables

service iptables restart

iptables-restore < /etc/sysconfig/iptables

CentOS 7:

引入了新的iptables前端管理服务工具：firewalld

firewalld-cmd

firewalld-config