Linux Iptables上中文man文档的详细介绍

　　--tcp-option [!] number

　　匹配设置了TCP选项的。

　　udp

　　当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

　　--source-port [!] [port:[port]]

　　源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。

　　--destination-port [!] [port:[port]]

　　目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。

　　icmp

　　当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：

　　--icmp-type [!] typename

　　这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

　　mac

　　--mac-source [!] address

　　匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

　　limit

　　这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)

　　--limit rate

　　最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。

　　--limit-burst number

　　待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

　　multiport

　　这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

　　--source-port [port[, port]]

　　如果源端口是其中一个给定端口则匹配