-c — 为​特​定​的​规​则​重​设​计​数​器​。​这​个​参​数​可​以​使​用 PKTS 和 BYTES 选​项​来​指​定​重​设​哪​个​计​数​器​。

-d — 设​定​匹​配​这​个​规​则​的​数​据​包​的​目​的​地​主​机​名​，IP 地​址​或​网​络​。​当​匹​配​一​个​网​络​时​，以​下​的 IP 地​址​/网​络​掩​码​格​式​被​支​持​：

-f — 只​对​分​段​的​数​据​包​应​用​这​个​规​则​。

您​可​用​在​这​个​参​数​后​面​使​用 (!) 选​项​来​指​定​只​有​未​分​段​的​数​据​包​才​匹​配​。

-i — 设​置​入​站​的​网​络​接​口​，如 eth0 或 ppp0。​使​用 iptables 时​，如​果​是 filter 规​则​表​，这​个​选​项​参​数​只​用​于 INPUT 和 FORWARD chain；如​果​是 nat 和 mangle 规​则​表​，它​只​用​于 PREROUTING chain。

这​个​参​数​也​支​持​以​下​特​殊​的​选​项​：

如​果​使​用​了 -i 参​数​而​没​有​指​定​接​口​，则​所​有​接​口​都​受​这​条​规​则​的​影​响​。

-j — 当​一​个​数​据​包​匹​配​一​条​特​定​规​则​时​，跳​到​指​定​的 target。

标​准​的 target 是 ACCEPT、​DROP、​QUEUE 和 RETURN。

红帽企业 Linux iptables RPM 软​件​包​默​认​加​载​的​模​块​也​包​括​了​扩​展​的​选​项​。​在​这​些​模​块​中​包​括​的​有​效 target 有 LOG、​MARK、 REJECT 和​其​它 target。​请​参​阅 iptables 说​明​书​页​来​获​得​更​多​关​于​这​些 target 的​信​息​。

这​个​选​项​也​可​以​用​来​把​匹​配​特​定​规​则​的​一​个​数​据​包​导​向​到​当​前 chain 以​外​的​一​个​用​户​定​义​的 chain 中​，从​而​可​以​对​这​个​数​据​包​应​用​其​它​规​则​。

如​果​没​有​指​定 target，这​个​数​据​包​会​通​过​这​个​规​则​而​没​有​任​何​行​动​被​执​行​。​但​是​，这​个​规​则​的​计​数​器​会​增​加​一​个​数​值​。

-o — 为​一​个​规​则​设​置​出​站​网​络​接​口​。​在 filter 规​则​表​中​，这​个​选​项​只​对 OUTPUT 和 FORWARD chain 有​效​，而​在 nat 和 mangle 规​则​表​中​，这​个​选​项​对 POSTROUTING chain 有​效​。​这​个​参​数​接​受​和​入​站​网​络​接​口​参​数 (-i) 相​同​的​选​项​。

-p <protocol> — 设​置​受​这​条​规​则​影​响​的 IP 协​议​。​这​可​能​是 icmp、​tcp、​udp 或 all；或​是​代​表​这​些​或​一​个​不​同​协​议​的​数​值​。​您​也​可​以​使​用​在 /etc/protocols 文​件​中​列​出​的​任​何​数​值​。

"all" 协​议​意​味​着​这​条​规​则​适​用​于​所​有​支​持​的​协​议​。​如​果​这​条​规​则​中​没​有​指​定​协​议​，它​的​默​认​值​则​为 "all"。

-s — 为​一​个​特​定​的​数​据​包​设​定​源​地​址​。​它​使​用​和​目​的​地​址 (-d) 参​数​相​同​的​语​法​。