参数

　　以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

　　-p -protocal [!]protocol  
 

　　规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。

　　-s -source [!] address[/mask]  
 

　　指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。

　　-d --destination [!] address[/mask]  
 

　　指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。

　　-j --jump target  
 
　　-j 目标跳转  
 

　　指定规则的目标;也就是说，如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的)，某个会立即决定包的命运的专用内建目标，或者一个扩展(参见下面的EXTENSIONS)。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

　　-i -in-interface [!] [name]  
 
　　i -进入的(网络)接口 [!][名称]  
 

　　这是包经由该接口接收的可选的入口名称，包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配任意接口。

　　-o --out-interface [!][name]  
 
　　-o --输出接口[名称]  
 

　　这是包经由该接口送出的可选的出口名称，包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配所有任意接口。

　　[!] -f, --fragment  
 
　　[!] -f --分片  
 

　　这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的)，这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前，表示相反的意思。

　　OTHER OPTIONS  
 

　　iptables中文man文档参数就介绍到这里了。

　　上一节：iptables中文man文档说明   下一节：iptables中文man文档其他选项

　　总共分为四个部分：1、概述   2、说明   3、参数   4、其他选项