iptables-extensions(8): Skillnad mellan sidversioner

NAMN

iptables-extensions — lista över tillägg i standarddistributionen av iptables

SYNOPSIS

ip6tables [-m namn [modulflaggor...]] [-j målnamn [målflaggor...]]

iptables  [-m namn [modulflaggor...]] [-j målnamn [målflaggor...]]

MATCH-TILLÄGG

iptables kan använda utökade paketmatchningsmoduler med flaggan -m eller --match, följt av modulens namn. Efter detta blir extra kommandoradsflaggor tillgängliga beroende på modul.

Du kan ange flera matchmoduler på samma rad. Du kan också använda -h eller --help efter att en modul har angetts för att få hjälp som är specifik för just den modulen.

Matchmoduler utvärderas i den ordning de anges i regeln.

Om -p eller --protocol har angetts, och iptables stöter på en okänd flagga, försöker det läsa in en matchmodul med samma namn som protokollet för att göra flaggan tillgänglig.

addrtype

Denna modul matchar paket baserat på deras adresstyp.

Möjliga adresstyper är bland annat:

• UNSPEC — ospecificerad adress, t.ex. 0.0.0.0
• UNICAST — unicast-adress
• LOCAL — lokal adress
• BROADCAST — broadcast-adress
• ANYCAST — anycast-paket
• MULTICAST — multicast-adress
• BLACKHOLE — blackhole-adress
• UNREACHABLE — onåbar adress
• PROHIBIT — förbjuden adress
• THROW — FIXME
• NAT — FIXME
• XRESOLVE

Viktiga flaggor:

[!] --src-type typ

Matchar om källadressen är av angiven typ.

[!] --dst-type typ

Matchar om destinationsadressen är av angiven typ.

--limit-iface-in

Begränsa typkontrollen till inkommande gränssnitt. Gäller bara i kedjorna PREROUTING, INPUT och FORWARD.

--limit-iface-out

Begränsa typkontrollen till utgående gränssnitt. Gäller bara i kedjorna POSTROUTING, OUTPUT och FORWARD.

ah (IPv6-specifik)

Matchar parametrar i Authentication Header för IPsec-paket.

[!] --ahspi spi[:spi]

Matchar SPI.

[!] --ahlen längd

Matchar total längd på headern i oktetter.

--ahres

Matchar om det reserverade fältet är noll.

ah (IPv4-specifik)

Matchar SPI i Authentication Header för IPsec-paket.

[!] --ahspi spi[:spi]

bpf

Matchning med Linux Socket Filter. Förväntar sig en sökväg till ett eBPF-objekt eller ett cBPF-program i decimalform.

--object-pinned sökväg

Anger sökväg till ett pinat eBPF-objekt.

--bytecode kod

Anger BPF-bytecode i format som genereras av nfbpf_compile.

Exempel:

iptables -A OUTPUT -m bpf --object-pinned ${BPF_MOUNT}/{PINNED_PATH} -j ACCEPT

iptables -A OUTPUT -m bpf --bytecode "`nfbpf_compile RAW 'ip proto 6'`" -j ACCEPT

cgroup

[!] --path sökväg

Matchar medlemskap i cgroup2.

[!] --cgroup classid

Matchar classid från net_cls-kontrollern.

Exempel:

iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --path service/http-server -j DROP
iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --cgroup 1 -j DROP

cluster

Används för klusterbaserad lastdelning utan separat lastbalanserare.

Viktiga flaggor:

--cluster-total-nodes antal

Antal noder i klustret.

[!] --cluster-local-node nummer

Lokalt nod-ID.

[!] --cluster-local-nodemask mask

Mask för lokalt nod-ID.

--cluster-hash-seed värde

Jenkins-hashens seed-värde.

comment

Låter dig lägga till kommentarer på regler, upp till 256 tecken.

--comment kommentar

Exempel:

iptables -A INPUT -i eth1 -m comment --comment "mitt lokala LAN"

connbytes

Matchar hur många byte eller paket en anslutning har överfört, eller genomsnittlig paketstorlek.

Viktiga flaggor:

[!] --connbytes från[:till]

Matcha anslutningar inom ett intervall.

--connbytes-dir original|reply|both

Vilken riktning som ska räknas.

--connbytes-mode packets|bytes|avgpkt

Om jämförelsen ska ske mot paket, byte eller medelpaktstorlek.

connlimit

Begränsar antalet parallella anslutningar per klient-IP eller adressblock.

--connlimit-upto n

Matchar om antalet anslutningar är mindre än eller lika med n.

--connlimit-above n

Matchar om antalet anslutningar är större än n.

--connlimit-mask prefixlängd

Gruppera värdar efter prefix.

--connlimit-saddr

Tillämpa gränsen på källgrupp.

--connlimit-daddr

Tillämpa gränsen på destinationsgrupp.

Exempel:

iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

connmark

Matchar netfilter-markeringen kopplad till en anslutning.

[!] --mark värde[/

mask]

conntrack

Ger tillgång till anslutningsspårningens tillstånd.

Viktiga flaggor:

[!] --ctstate tillståndslista

Exempel: INVALID, NEW, ESTABLISHED, RELATED, UNTRACKED, SNAT, DNAT.

[!] --ctproto lager4-protokoll

[!] --ctorigsrc adress[/

mask]

[!] --ctorigdst adress[/

mask]

[!] --ctreplsrc adress[/

mask]

[!] --ctrepldst adress[/

mask]

Matcha ursprunglig/svars käll- eller destinationsadress.

[!] --ctorigsrcport port[:port]

[!] --ctorigdstport port[:port]

[!] --ctreplsrcport port[:port]

[!] --ctrepldstport port[:port]

Matcha portar eller GRE-nycklar.

[!] --ctstatus statuslista

Exempel: NONE, EXPECTED, SEEN_REPLY, ASSURED, CONFIRMED.

[!] --ctexpire tid[:tid]

Matcha återstående livstid i sekunder.

--ctdir ORIGINAL|REPLY

Matcha riktning.

cpu

[!] --cpu nummer

Matchar CPU:n som hanterar paketet.

dccp

Flaggor:

[!] --source-port, --sport port[:port]

[!] --destination-port, --dport port[:port]

[!] --dccp-types mask

[!] --dccp-option nummer

devgroup

Matchar enhetsgrupp för in-/utgående gränssnitt.

[!] --src-group namn

[!] --dst-group namn

dscp

Matchar DSCP-fältet i TOS-fältet.

[!] --dscp värde

[!] --dscp-class klass

dst (IPv6-specifik)

Matchar parametrar i Destination Options Header.

[!] --dst-len längd

--dst-opts typ[:längd][, ...]

ecn

Matchar ECN-bitar i IPv4/IPv6- och TCP-header.

[!] --ecn-tcp-cwr

[!] --ecn-tcp-ece

[!] --ecn-ip-ect num

esp

[!] --espspi spi[:spi]

eui64 (IPv6-specifik)

Matchar EUI-64-delen av en stateless autokonfigurerad IPv6-adress.

frag (IPv6-specifik)

Matchar parametrar i Fragment Header.

[!] --fragid id[:id]

[!] --fraglen längd

--fragres

--fragfirst

--fragmore

--fraglast

hashlimit

Rate limiting med hash-buckets per värd, port eller kombination.

Viktiga flaggor:

--hashlimit-upto mängd[/second|/minute|/hour|/day]

--hashlimit-above mängd[/second|/minute|/hour|/day]

--hashlimit-burst mängd

--hashlimit-mode srcip|srcport|dstip|dstport

--hashlimit-srcmask prefix

--hashlimit-dstmask prefix

--hashlimit-name namn

--hashlimit-htable-size buckets

--hashlimit-htable-max poster

--hashlimit-htable-expire msek

--hashlimit-htable-gcinterval msek

--hashlimit-rate-match

--hashlimit-rate-interval sek

hbh (IPv6-specifik)

Hop-by-Hop Options Header.

[!] --hbh-len längd

--hbh-opts typ[:längd][, ...]

helper

[!] --helper sträng

Matchar paket relaterade till en viss conntrack-helper, t.ex. ftp.

hl (IPv6-specifik)

Matchar Hop Limit-fältet i IPv6-headern.

[!] --hl-eq värde

--hl-lt värde

--hl-gt värde

icmp (IPv4-specifik)

[!] --icmp-type {typ[/

kod]|typnamn}

icmp6 (IPv6-specifik)

[!] --icmpv6-type typ[/

kod]|typnamn

iprange

Matchar mot godtyckligt intervall av IP-adresser.

[!] --src-range från-till

[!] --dst-range från-till

ipv6header (IPv6-specifik)

Matchar IPv6 extension headers eller övre lager-header.

--soft

[!] --header header[, ...]

Möjliga header-typer:

• hop
• dst
• route
• frag
• auth
• esp
• none
• prot

ipvs

Matchar IPVS-anslutningsegenskaper.

[!] --ipvs

[!] --vproto protokoll

[!] --vaddr adress[/

mask]

[!] --vport port

--vdir ORIGINAL|REPLY

[!] --vmethod GATE|IPIP|MASQ

[!] --vportctl port

length

[!] --length längd[:längd]

limit

Token-bucket rate limiting.

--limit hastighet[/second|/minute|/hour|/day]

--limit-burst antal

mac

[!] --mac-source adress

Matchar käll-MAC-adress.

mark

[!] --mark värde[/

mask]

Matchar netfilter-markering på paket.

mh (IPv6-specifik)

[!] --mh-type typ[:typ]

multiport

Matchar en mängd portar.

[!] --source-ports, --sports port[, ...]

[!] --destination-ports, --dports port[, ...]

[!] --ports port[, ...]

nfacct

Utökad trafikredovisning för iptables.

--nfacct-name namn

Exempel:

nfacct add http-traffic
iptables -I INPUT -p tcp --sport 80 -m nfacct --nfacct-name http-traffic
iptables -I OUTPUT -p tcp --dport 80 -m nfacct --nfacct-name http-traffic
nfacct get http-traffic

osf

Passiv fingerprinting av operativsystem.

[!] --genre sträng

--ttl nivå

--log nivå

owner

Matchar egenskaper hos process som skapade paketet. Gäller bara i OUTPUT och POSTROUTING.

[!] --uid-owner användare|uid[-uid]

[!] --gid-owner grupp|gid[-gid]

--suppl-groups

[!] --socket-exists

physdev

Matchar bryggporters in-/utgångsenheter.

[!] --physdev-in namn

[!] --physdev-out namn

[!] --physdev-is-in

[!] --physdev-is-out

[!] --physdev-is-bridged

pkttype

[!] --pkt-type {unicast|broadcast|multicast}

policy

Matchar IPsec-policy.

--dir {in|out}

--pol {none|ipsec}

--strict

[!] --reqid id

[!] --spi spi

[!] --proto {ah|esp|ipcomp}

[!] --mode {tunnel|transport}

[!] --tunnel-src addr[/

mask]

[!] --tunnel-dst addr[/

mask]

--next

quota

[!] --quota byte

Matchar tills en bytekvot tar slut.

rateest

Jämför uppmätta trafiknivåer insamlade av RATEEST-målet.

Viktiga flaggor:

--rateest-delta

[!] --rateest-lt

[!] --rateest-gt

[!] --rateest-eq

--rateest namn

--rateest1 namn

--rateest2 namn

--rateest-bps [värde]

--rateest-pps [värde]

--rateest-bps1 [värde]

--rateest-bps2 [värde]

--rateest-pps1 [värde]

--rateest-pps2 [värde]

realm (IPv4-specifik)

[!] --realm värde[/

mask]

recent

Skapar och matchar dynamiska listor med IP-adresser.

Viktiga flaggor:

--name namn

[!] --set

--rsource

--rdest

--mask nätmask

[!] --rcheck

[!] --update

[!] --remove

--seconds sekunder

--reap

--hitcount träffar

--rttl

Exempel:

iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP
iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP

rpfilter

Omvänd vägsfiltrering.

--loose

--validmark

--accept-local

--invert

rt (IPv6-specifik)

Matchar IPv6 routing header.

[!] --rt-type typ

[!] --rt-segsleft num[:num]

[!] --rt-len längd

--rt-0-res

--rt-0-addrs addr[, ...]

--rt-0-not-strict

sctp

Matchar SCTP-header.

[!] --source-port, --sport port[:port]

[!] --destination-port, --dport port[:port]

[!] --chunk-types {all|any|only} chunktyp[

flaggor] [...]

set

Matchar IP-set definierade med ipset(8).

[!] --match-set setnamn flagga[, ...]

--return-nomatch

! --update-counters

! --update-subcounters

[!] --packets-eq värde

--packets-lt värde

--packets-gt värde

[!] --bytes-eq värde

--bytes-lt värde

--bytes-gt värde

socket

Matchar om ett öppet TCP/UDP-socket kan hittas för paketet.

--transparent

--nowildcard

--restore-skmark

state

Delmängd av conntrack.

[!] --state state

Stöder INVALID, ESTABLISHED, NEW, RELATED, UNTRACKED.

statistic

Statistisk matchning.

--mode mode

random eller nth.

[!] --probability p

[!] --every n

--packet p

string

Matchar en sträng i paketdata.

--algo {bm|kmp}

--from offset

--to offset

[!] --string mönster

[!] --hex-string mönster

--icase

tcp

TCP-specifika matchningar.

[!] --source-port, --sport port[:port]

[!] --destination-port, --dport port[:port]

[!] --tcp-flags mask comp

[!] --syn

[!] --tcp-option nummer

tcpmss

[!] --mss värde[:värde]

Matchar TCP MSS-värde.

time

Tidsbaserad matchning.

--datestart YYYY[-MM[-DD[T hh[:mm[:ss]]]]]

--datestop YYYY[-MM[-DD[T hh[:mm[:ss]]]]]

--timestart hh:mm[:ss]

--timestop hh:mm[:ss]

[!] --monthdays dag[, ...]

[!] --weekdays dag[, ...]

--contiguous

--kerneltz

Exempel:

-m time --weekdays Sa,Su
-m time --datestart 2007-12-24 --datestop 2007-12-27
-m time --timestart 12:30 --timestop 13:30

tos

Matchar TOS/Priority-fält.

[!] --tos värde[/

mask]

[!] --tos symbol

ttl (IPv4-specifik)

[!] --ttl-eq ttl

--ttl-gt ttl

--ttl-lt ttl

u32

Generell matchning av bitfält i paket.

[!] --u32 tester

Detta är ett litet språk för att extrahera och jämföra upp till 4 byte åt gången ur ett paket.

udp

UDP-specifika matchningar.

[!] --source-port, --sport port[:port]

[!] --destination-port, --dport port[:port]

MÅL-TILLÄGG

iptables kan använda utökade målmoduler. Följande ingår i standarddistributionen.

AUDIT

Skapar audit-poster för paket som träffar målet.

--type {accept|drop|reject}

Exempel:

iptables -N AUDIT_DROP
iptables -A AUDIT_DROP -j AUDIT
iptables -A AUDIT_DROP -j DROP

CHECKSUM

Kan bara användas i tabellen mangle.

--checksum-fill

Beräknar och fyller i checksumma i paket som saknar sådan.

CLASSIFY

Sätter skb->priority.

--set-class major:minor

CLUSTERIP (IPv4-specifik)

Konfigurerar enkelt kluster som delar IP- och MAC-adress.

--new

--hashmode mode

--clustermac mac

--total-nodes num

--local-node num

--hash-init rnd

CONNMARK

Sätter markering kopplad till en anslutning.

--set-xmark värde[/

mask]

--save-mark [--nfmask nfmask] [--ctmask ctmask]

--restore-mark [--nfmask nfmask] [--ctmask ctmask]

--and-mark bitar

--or-mark bitar

--xor-mark bitar

--set-mark värde[/

mask]

CONNSECMARK

Kopierar säkerhetsmärkning mellan paket och anslutningar.

--save

--restore

CT

Sätter parametrar för ett paket eller dess kopplade anslutning. Gäller bara i tabellen raw.

--notrack

--helper namn

--ctevents event[, ...]

--expevents event[, ...]

--zone-orig {id|mark}

--zone-reply {id|mark}

--zone {id|mark}

--timeout namn

DNAT

Gäller bara i tabellen nat, kedjorna PREROUTING och OUTPUT.

--to-destination [ipaddr[-ipaddr]][

port[-port[/baseport]]]

--random

--persistent

DNPT (IPv6-specifik)

Stateless destination prefix translation enligt RFC 6296. Används i tabellen mangle.

--src-pfx [prefix/längd]

--dst-pfx [prefix/längd]

DSCP

Ändrar DSCP-bitar i TOS-headern.

--set-dscp värde

--set-dscp-class klass

ECN (IPv4-specifik)

--ecn-tcp-remove

Tar bort ECN-bitar från TCP-headern.

HL (IPv6-specifik)

Ändrar Hop Limit-fältet i IPv6-headern. Kan bara användas i mangle.

--hl-set värde

--hl-dec värde

--hl-inc värde

HMARK

Som MARK, men markeringen beräknas genom hashning.

--hmark-tuple tuple

--hmark-mod värde

--hmark-offset värde

--hmark-src-prefix cidr

--hmark-dst-prefix cidr

--hmark-sport-mask värde

--hmark-dport-mask värde

--hmark-spi-mask värde

--hmark-proto-mask värde

--hmark-rnd värde

IDLETIMER

Identifierar när gränssnitt varit inaktiva en viss tid.

--timeout antal

--label sträng

LED

Skapar LED-trigger för paket.

--led-trigger-id namn

--led-delay ms

--led-always-blink

LOG

Aktiverar kärnloggning för matchande paket.

--log-level nivå

--log-prefix prefix

--log-tcp-sequence

--log-tcp-options

--log-ip-options

--log-uid

--log-macdecode

MARK

Sätter Netfilter-markeringen för paket.

--set-xmark värde[/

mask]

--set-mark värde[/

mask]

--and-mark bitar

--or-mark bitar

--xor-mark bitar

MASQUERADE

Gäller bara i nat-tabellen, kedjan POSTROUTING.

--to-ports port[-port]

--random

--random-fully

NETMAP

Statisk nät-till-nät-mappning.

--to adress[/

mask]

NFLOG

Skickar matchande paket till användarrymden via logging backend.

--nflog-group nlgroup

--nflog-prefix prefix

--nflog-range storlek

--nflog-size storlek

--nflog-threshold storlek

NFQUEUE

Skickar paket till användarrymden via nfnetlink_queue.

--queue-num värde

--queue-balance värde:värde

--queue-bypass

--queue-cpu-fanout

NOTRACK

Inaktiverar anslutningsspårning för paket. Samma som -j CT --notrack. Gäller bara i raw.

RATEEST

Samlar statistik för senare jämförelse med matchmodulen rateest.

--rateest-name namn

--rateest-interval mängd{s|ms|us}

--rateest-ewmalog värde

REDIRECT

Omdirigerar paket till den lokala maskinen.

--to-ports port[-port]

--random

REJECT (IPv6-specifik)

Skickar tillbaka ett felpaket i stället för att tyst droppa.

--reject-with typ

T.ex. icmp6-no-route, adm-prohibited, tcp-reset.

REJECT (IPv4-specifik)

--reject-with typ

T.ex. icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-admin-prohibited, tcp-reset.

SECMARK

Sätter säkerhetsmarkering för paket.

--selctx security_context

SET

Lägger till eller tar bort poster från IP-set.

--add-set setnamn flagga[, ...]

--del-set setnamn flagga[, ...]

--map-set setnamn flagga[, ...]

--timeout värde

--exist

--map-mark

--map-prio

--map-queue

SNAT

Ändrar källadress för paket. Gäller i nat.

--to-source [ipaddr[-ipaddr]][

port[-port]]

--random

--random-fully

--persistent

SNPT (IPv6-specifik)

Stateless source prefix translation enligt RFC 6296.

--src-pfx [prefix/längd]

--dst-pfx [prefix/längd]

SYNPROXY

Bearbetar TCP-trevägshandskakning i netfilter-kontext för att skydda lokala eller bakre system.

--mss mss

--wscale window scale

--sack-perm

--timestamps

TCPMSS

Ändrar MSS-värdet på TCP SYN-paket.

--set-mss värde

--clamp-mss-to-pmtu

TCPOPTSTRIP

Tar bort TCP-optioner från ett TCP-paket.

--strip-options option[, ...]

TEE

Klonar ett paket och skickar klonen till annan maskin på det lokala nätsegmentet.

--gateway ipaddr

TOS

Sätter TOS/Priority-fältet.

--set-tos värde[/

mask]

--set-tos symbol

--and-tos bitar

--or-tos bitar

--xor-tos bitar

TPROXY

Omdirigerar paket till ett lokalt socket utan att ändra paketheadern. Gäller i mangle, PREROUTING.

--on-port port

--on-ip adress

--tproxy-mark värde[/

mask]

TRACE

Markerar paket så att kärnan loggar varje regel som matchar under traversal. Gäller bara i raw.

TTL (IPv4-specifik)

Ändrar TTL-fältet i IPv4-headern.

--ttl-set värde

--ttl-dec värde

--ttl-inc värde

ULOG (IPv4-specifik)

Föråldrad föregångare till NFLOG.

--ulog-nlgroup nlgroup

--ulog-prefix prefix

--ulog-cprange storlek

--ulog-qthreshold storlek

KOLOFON

Denna sida är en del av projektet iptables (administrera och underhålla paketfilterregler). Information om projektet finns på:

http://www.netfilter.org/

Om du har en felrapport för denna manualsida, se:

http://bugzilla.netfilter.org/

Denna sida hämtades från projektets uppströms Git-arkiv:

git://git.netfilter.org/iptables

den 2026-01-16. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet 2025-11-27.

Om du upptäcker renderingsproblem i denna HTML-version av sidan, eller tror att det finns en bättre eller mer uppdaterad källa för sidan, eller har rättelser eller förbättringar till informationen i denna KOLOFON (som inte är en del av originalmanualsidan), skicka e-post till:

man-pages@man7.org