iptableas中文手册(6)

　　MARK

　　用来设置包的netfilter标记值。只适用于mangle表。

　　--set-mark mark

　　REJECT

　　作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

　　此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

　　--reject-with type

　　Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、 icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。

　　TOS

　　用来设置IP包的首部八位tos。只能用于mangle表。

　　--set-tos tos

　　你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。

　　MIRROR

　　这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

　　SNAT

　　这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

　　--to-source [-][:port-port]

　　可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024 以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

　　--to-destiontion [-][:port-port]

　　可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。