对应的扩展

　　iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。

　　tcp

　　当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：

　　--source-port [!] [port[:port]]

　　源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是"0"，如果末端口号被忽略，默认是"65535"，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 --sport的别名。

　　--destionation-port [!] [port:[port]]

　　目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。

　　--tcp-flags [!] mask comp

　　匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

　　[!] --syn

　　只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"标记，表示相反的意思。

　　--tcp-option [!] number

　　匹配设置了TCP选项的。

　　udp

　　当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

　　--source-port [!] [port:[port]]

　　源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。

　　--destination-port [!] [port:[port]]

　　目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。

　　icmp

　　当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：

　　--icmp-type [!] typename

　　这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

　　mac

　　--mac-source [!] address

　　匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

　　limit

　　这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)

　　--limit rate

　　最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。

　　--limit-burst number

　　待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

　　multiport

　　这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。