iptableas中文手册(5)

　　icmp

　　当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：

　　--icmp-type [!] typename

　　这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

　　mac

　　--mac-source [!] address

　　匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

　　limit

　　这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)

　　--limit rate

　　最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。

　　--limit-burst number

　　待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

　　multiport

　　这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

　　--source-port [port[, port]]

　　如果源端口是其中一个给定端口则匹配

　　--destination-port [port[, port]]

　　如果目标端口是其中一个给定端口则匹配

　　--port [port[, port]]

　　若源端口和目的端口相等并与某个给定端口相等,则匹配。

　　mark

　　这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

　　--mark value [/mask]

　　匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

　　owner

　　此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

　　--uid-owner userid

　　如果给出有效的user id，那么匹配它的进程产生的包。

　　--gid-owner groupid

　　如果给出有效的group id，那么匹配它的进程产生的包。

　　--sid-owner seessionid

　　根据给出的会话组匹配该进程产生的包。

　　state

　　此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

　　--state state

　　这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW 表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

　　unclean

　　此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

　　tos

　　此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

　　--tos tos

　　这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

　　TARGET EXTENSIONS

　　iptables可以使用扩展目标模块：以下都包含在标准版中。

　　LOG

　　为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。

　　--log-level level

　　记录级别（数字或参看 syslog.conf(5)）。

　　--log-prefix prefix

　　在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

　　--log-tcp-sequence

　　记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

　　--log-tcp-options

　　记录来自TCP包头部的选项。

　　--log-ip-options

　　记录来自IP包头部的选项。