Linux Iptables上中文man文档的详细介绍

　　iptables可以使用扩展目标模块：以下都包含在标准版中。

　　LOG

　　为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。

　　--log-level level

　　记录级别（数字或参看 syslog.conf(5)）。

　　--log-prefix prefix

　　在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

　　--log-tcp-sequence

　　记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

　　--log-tcp-options

　　记录来自TCP包头部的选项。

　　--log-ip-options

　　记录来自IP包头部的选项。

　　MARK

　　用来设置包的netfilter标记值。只适用于mangle表。

　　--set-mark mark

　　REJECT

　　作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

　　此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

　　--reject-with type

　　Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、 icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。

　　TOS

　　用来设置IP包的首部八位tos。只能用于mangle表。

　　--set-tos tos

　　你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。