一句一句解说 iptables的详细中文手册

核心提示： --destination-port [port[, port]]如果目标端口是其中一个给定端口则匹配--port [port[, port]]若源端口和目的端口相等并与某个给定端口相等,则匹配，mark这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）

--destination-port [port[, port]]

如果目标端口是其中一个给定端口则匹配

--port [port[, port]]

若源端口和目的端口相等并与某个给定端口相等,则匹配。

mark

这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

--mark value [/mask]

匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner

此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

--uid-owner userid

如果给出有效的user id，那么匹配它的进程产生的包。

--gid-owner groupid

如果给出有效的group id，那么匹配它的进程产生的包。

--sid-owner seessionid

根据给出的会话组匹配该进程产生的包。

state

此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

--state state

这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean

此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos

此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

--tos tos

这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS