下面的条件用来匹配网络分组。如果在条件前面加上感叹号(!),那么该规则将匹配那些不匹配该条件的分组。
--protocol[!] proto:-p若分组使用协议proto,则匹配。
$ iptables -p tcp -h
注:在协议后面紧跟着-h,就可以显示能够用于该协议的各种扩展。
--source[!] address[/mark]:-s或--src若分组来自地址address,则匹配。该地址可以是一个名字,也可以是IP地址。网络掩码mask(只能与IP地址联用)可选。
--destination[!] address[/mask]:-d或--dst 若分组发往地址address,则匹配。该地址可以是一个名字,也可以是IP地址。网络掩码mask(只能与IP地址联用)可选。
--in-interface[!] iface[+]:-i 对于INPUT,FORWARD和PREROUTING规则链,若接收到分组的接口的名字是iface,则匹配。在iface后面追加一个加号(+),就匹配名字以iface开头的任何接口。如果不指定in-interface,那么该规则匹配来自任何端口的分组。
--out-interface[!] iface[+]:-o 对于FORWARD,OUTPUT和POSTROUTING规则链,若用来发送分组的接口的名字是iface,则匹配。在iface后面追加一个加号(+),就匹配名字以iface开头的任何接口。如果不指定out-interface,那么该规则匹配来自任何端口的分组。
[!] --fragment:-f 匹配被分片分组的第二个分片包及其后续分组。因为这些分组不含源信息或目标信息,所以不会匹配任何其他规则。