--source-port [port[, port]]

　　如果源端口是其中一个给定端口则匹配

　　--destination-port [port[, port]]

　　如果目标端口是其中一个给定端口则匹配

　　--port [port[, port]]

　　若源端口和目的端口相等并与某个给定端口相等,则匹配。

　　mark

　　这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

　　--mark value [/mask]

　　匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

　　owner

　　此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

　　--uid-owner userid

　　如果给出有效的user id，那么匹配它的进程产生的包。

　　--gid-owner groupid

　　如果给出有效的group id，那么匹配它的进程产生的包。

　　--sid-owner seessionid

　　根据给出的会话组匹配该进程产生的包。

　　state

　　此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

　　--state state

　　这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个 ICMP错误。

　　unclean

　　此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

　　tos

　　此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

　　--tos tos

　　这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。