Как сочетаются параметры iptables?

Я искал и искал и не могу найти никакой информации о том, как комбинируются параметры iptables.

Если я хочу сопоставить трафик с IP-адресом или с IP-адреса, могу ли я сделать -s а.b.c.d -d а.b.c.d? То есть являются -с и -д параметры, объединенные как или же (пакет соответствует любому) или и (пакет соответствует всем)?

Несколько связанных, как сделать -m IP-диапазон и -с и -д взаимодействовать? То есть могу ли я использовать -m iprange --src-диапазон 10.0.0.1-10.0.0.8 чтобы указать диапазон, затем добавьте -с !10.0.0.5 сделать исключение?

Лучший способ узнать — это протестировать. Да, вы можете комбинировать -с и -д, однако, если это имеет смысл, зависит от того, в какой таблице вы используете правило.

Все параметры одного правила И. Если хочешь ИЛИ ЖЕ, вы можете создать таблицу, на которую вы отправляете трафик.

Некоторые комбинации будут генерировать ошибки, опять же лучше попробовать.

Предположим, что ваша политика принята, и вы хотите сопоставлять ее только в том случае, если правило соответствует. Добавить правило iptables -A ВЫВОД -s x.x.x.x -d x.x.x.x -j ПРИНЯТЬ поскольку цель будет такой же, как и по умолчанию, это не окажет никакого влияния, но будет отображаться с iptables -vnL и иметь счетчики.

Существует более продвинутое ведение журнала и т. д., но это быстрый и простой способ быстрого тестирования правил. (и, конечно же, tcpdump — ваш друг)

В связи с iprange Я бы еще раз сказал, что лучше всего проверить. В худшем случае попытка добавить правило приведет к ошибке. (надеюсь, кто-то другой может дать вам лучшие ответы на эту часть вашего вопроса)