iptables的-f参数问题

levinpluto

man 这样写的
[!] -f, --fragment
              This means that the rule only refers to second and further fragments of fragmented packets.  Since there is no way to tell  the  source  or
              destination  ports  of such a packet (or ICMP type), such a packet will not match any rules which specify them.  When the "!" argument pre‐
              cedes the "-f" flag, the rule will only match head fragments, or unfragmented packets.

我在apache服务器上配置了一条：
iptables -A OUTPUT -f -d 192.168.1.2

192.168.1.2是我的终端，我在终端上访问服务器上一个大页面，抓包确定http响应发回的时候数据包做了分段，但是之后用iptables -L -v看，没有一个包匹配到上述的规则，这个-f参数到底是什么意思？用来做什么的？

yhliu

用来匹配一个被分片的包的第二片或及以后的部分。因为它们不包含源或目的地址，
或ICMP类型等信息，其他规则无法匹配到它，所以才有这个匹配操作。要注意碎片攻
击哦。这个操作也可以加英文感叹号表示取反，但要注意位置，如：! -f 。取反
时，表示只能匹配到没有分片的包或者是被分片的包的第一个碎片，其后的片都不
行。现在内核有完善的碎片重组功能，可以防止碎片攻击，所以不必使用取反的功能
来防止碎片通过。如果你使用连接跟踪，是不会看到任何碎片的，因为在它们到达任
何链之前就被处理过了。