Provided by: manpages-ja_0.5.0.0.20180315+dfsg-1_all bug

名前

       iptables-extensions — 標準の iptables に含まれる拡張モジュールのリスト

書式

       ip6tables [-m name [module-options...]] [-j target-name [target-options...]

       iptables [-m name [module-options...]] [-j target-name [target-options...]

マッチングの拡張

       iptables は拡張されたパケットマッチングモジュールを使うことができる。 使用するモジュールは
       -m--match の後ろにモジュール名に続けて指定する。 モジュール名の後ろには、 モジュールに
       応じて他のいろいろなコマンドラインオプションを指定することができる。  複数の拡張マッチング
       モジュールを一行で指定することができる。 モジュールの指定より後ろで -h--help  を指定す
       ると、 モジュール固有のヘルプが表示される。 拡張マッチングモジュールはルールで指定された順
       序で評価される。

       -p--protocol   が指定され、   かつ未知のオプションだけが指定されていた場合にのみ、
       iptables はプロトコルと同じ名前のマッチモジュールをロードし、 そのオプションを使えるように
       しようとする。

   addrtype
       このモジュールは、 アドレス種別 (address type) に基づいてパケットマッチングを行う。 アドレ
       ス種別はカーネルのネットワークスタック内で使われており、  アドレスはいくつかグループに分類
       される。 厳密なグループの定義は個々のレイヤ 3 プロトコルに依存する。

       以下のアドレスタイプが利用できる。

       UNSPEC アドレスを指定しない (つまりアドレス 0.0.0.0)

       UNICAST
              ユニキャストアドレス

       LOCAL  ローカルアドレス

       BROADCAST
              ブロードキャストアドレス

       ANYCAST
              エニーキャストアドレス

       MULTICAST
              マルチキャストアドレス

       BLACKHOLE
              ブラックホールアドレス

       UNREACHABLE
              到達できないアドレス

       PROHIBIT
              禁止されたアドレス

       THROW  要修正

       NAT    要修正

       XRESOLVE

       [!] --src-type type
              送信元アドレスが指定された種類の場合にマッチする。

       [!] --dst-type type
              宛先アドレスが指定された種類の場合にマッチする。

       --limit-iface-in
              アドレス種別のチェックをそのパケットが受信されたインターフェースに限定する。 このオ
              プションは  PREROUTING, INPUT, FORWARD チェインでのみ利用できる。 --limit-iface-out
              オプションと同時に指定することはできない。

       --limit-iface-out
              アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオ
              プションは POSTROUTING, OUTPUT, FORWARD チェインでのみ利用できる。 --limit-iface-in
              オプションと同時に指定することはできない。

   ah (IPv6 のみ)
       このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。

       [!] --ahspi spi[:spi]
              SPI にマッチする。

       [!] --ahlen length
              このヘッダーの全体の長さ (8進数)。

       --ahres
              予約フィールドが 0 で埋められている場合にマッチする。

   ah (IPv4 の場合)
       このモジュールは IPsec パケットの認証ヘッダー (AH) の SPI 値にマッチする。

       [!] --ahspi spi[:spi]

   bpf
       Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
       nfbpf_compile ユーティリティにより生成されるフォーマットである。

       --bytecode code
              BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。

       コードのフォーマットは tcpdump の -ddd コマンドの出力に似ている。 最初に命令数が入った行が
       1 行あり、 1 行 1 命令がこれに続く。 命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定す
       る。  各フィールドは、命令、  true 時のジャンプオフセット、 false 時のジャンプオフセット、
       汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。

       例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末
       尾のホワイトスペースは含めずに)。

              4 # 命令数
              48 0 0 9 # load byte ip->proto
              21 0 1 6 # jump equal IPPROTO_TCP
              6 0 0 1 # return pass (non-zero)
              6 0 0 0 # return fail (zero)

       このフィルターを bpf マッチに渡すには以下のコマンドのようにする。

              iptables  -A  OUTPUT  -m  bpf  --bytecode  '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' -j
              ACCEPT

       代わりに、 nfbpf_compile ユーティリティを使う方法もある。

              iptables -A OUTPUT -m bpf --bytecode "`nfbpf_compile RAW 'ip proto 6'`" -j ACCEPT

       BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。

   cluster
       このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスター
       を配備できる。

       This  match  requires  that  all  the  nodes see the same packets. Thus, the cluster match
       decides if this node has to handle a packet given the following options:

       --cluster-total-nodes num
              クラスターの総ノード数を設定する。

       [!] --cluster-local-node num
              ローカルノードの数字の ID を設定する。

       [!] --cluster-local-nodemask mask
              ローカルノードの ID マスクを設定する。 このオプションは --cluster-local-node の代わ
              りに使うことができる。

       --cluster-hash-seed value
              Jenkins ハッシュのシード値を設定する。

       例:

              iptables  -A  PREROUTING  -t  mangle  -i  eth1  -m  cluster --cluster-total-nodes 2
              --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff

              iptables -A PREROUTING  -t  mangle  -i  eth2  -m  cluster  --cluster-total-nodes  2
              --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff

              iptables -A PREROUTING -t mangle -i eth1 -m mark ! --mark 0xffff -j DROP

              iptables -A PREROUTING -t mangle -i eth2 -m mark ! --mark 0xffff -j DROP

       以下のコマンドで、 すべてのノードに同じパケットを届けることができる。

              ip maddr add 01:00:5e:00:01:01 dev eth1

              ip maddr add 01:00:5e:00:01:02 dev eth2

              arptables -A OUTPUT -o eth1 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:01

              arptables  -A  INPUT  -i  eth1  --h-length 6 --destination-mac 01:00:5e:00:01:01 -j
              mangle --mangle-mac-d 00:zz:yy:xx:5a:27

              arptables -A OUTPUT -o eth2 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:02

              arptables -A INPUT -i eth2  --h-length  6  --destination-mac  01:00:5e:00:01:02  -j
              mangle --mangle-mac-d 00:zz:yy:xx:5a:27

       NOTE:  the  arptables  commands above use mainstream syntax. If you are using arptables-jf
       included in some  RedHat,  CentOS  and  Fedora  versions,  you  will  hit  syntax  errors.
       Therefore, you'll have to adapt these to the arptables-jf syntax to get them working.

       TCP  接続の場合には、応答方向で受信した TCP ACK パケットが有効とマークされないようにするた
       め、ピックアップ (pickup) 機能を無効する必要がある。

              echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

   comment
       ルールにコメント (最大 256 文字) を付けることができる。

       --comment comment

       例:    iptables -A INPUT -i eth1 -m comment --comment "my local LAN"

   connbytes
       一つのコネクション (もしくはそのコネクションを構成する 2 つのフローの一方)  でそれまでに転
       送されたバイト数やパケット数、 もしくはパケットあたりの平均バイト数にマッチする。

       カウンターは 64 ビットであり、したがってオーバーフローすることは考えられていない ;)

       主な利用方法は、長時間存在するダウンロードを検出し、 これらに印を付けることで、 トラフィッ
       ク制御において艇優先帯域を使うようにスケジューリングできるようにすることである。

       コネクションあたりの転送バイト数は、 `conntrack -L` 経由で見ることができ、 ctnetlink  経由
       でもアクセスすることもできる。

       アカウント情報を持っていないコネクションでは、 このマッチングは常に false を返す点に注意す
       ること。 "net.netfilter.nf_conntrack_acct" sysctl フラグで、 新規コネクションでバイト数/パ
       ケット数の計測が行われるかが制御できる。  sysctl フラグが変更されても、 既存のコネクション
       のアカウント情報は影響を受けない。

       [!] --connbytes from[:to]
              パケット数/バイト数/平均パケットサイズが  FROM  バイト/パケットより大きく  TO  バイ
              ト/パケットよりも小さいコネクションのパケットにマッチする。   TO   が省略した場合は
              FROM のみがチェックされる。 "!" を使うと、 この範囲にないパケットにマッチする。

       --connbytes-dir {original|reply|both}
              どのパケットを計測するかを指定する

       --connbytes-mode {packets|bytes|avgpkt}
              パケット総数、転送バイト数、これまでに受信した全パケットの平均サイズ   (バイト単位)
              のどれをチェックするかを指定する。  "both" と "avgpkt" を組み合わせて使った場合で、
              (HTTP のように) データが (主に) 片方向でのみ転送される場合、 平均パケットサイズは実
              際のデータパケットの約半分になる点に注意すること。

       例:    iptables   ..   -m   connbytes   --connbytes   10000:100000   --connbytes-dir  both
              --connbytes-mode bytes ...

   connlimit
       一つのサーバーに対する、 一つのクライアント IP アドレス  (またはクライアントアドレスブロッ
       ク) からの同時接続数を制限することができる。

       --connlimit-upto n
              既存の接続数が n 以下の場合にマッチする。

       --connlimit-above n
              既存の接続数が n より多い場合にマッチする。

       --connlimit-mask prefix_length
              プレフィックス長を使ってホストのグルーピングを行う。  IPv4 の場合には、プレフィック
              ス長は 0 以上 32 以下の値でなければならない。 IPv6 の場合には 0 以上 128 以下でなけ
              ればならない。 指定しなかった場合、そのプロトコルで使われる最も長いプレフィックス長
              が使用される。

       --connlimit-saddr
              送信元グループに対して制限を適用する。 これが --connlimit-daddr  が指定されなかった
              場合のデフォルトである。

       --connlimit-daddr
              宛先グループに対して制限を適用する。

       例:

       # クライアントホストあたり 2 つの telnet 接続を許可する
              iptables  -A  INPUT  -p  tcp  --syn  --dport 23 -m connlimit --connlimit-above 2 -j
              REJECT

       # 同じことのに行う別のマッチ方法
              iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT

       # クラス C の送信元ネットワーク (ネットマスクが 24 ビット) あたりの同時 HTTP  リクエスト数
       を 16 までに制限する
              iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask
              24 -j REJECT

       # リンクローカルネットワークからの同時 HTTP リクエスト数を 16 までに制限する
              (ipv6)   ip6tables  -p  tcp  --syn   --dport   80   -s   fe80::/64   -m   connlimit
              --connlimit-above 16 --connlimit-mask 64 -j REJECT

       # 特定のホスト宛のコネクション数を制限する
              ip6tables   -p   tcp   --syn   --dport  49152:65535  -d  2001:db8::1  -m  connlimit
              --connlimit-above 100 -j REJECT

   connmark
       このモジュールはコネクションに関連づけられた netfilter の mark フィールドにマッチする  (こ
       のフィールドは、 以下の CONNMARK ターゲットで設定される)。

       [!] --mark value[/mask]
              指定された  mark  値を持つコネクションのパケットにマッチする (mask が指定されると、
              比較の前に mask との論理積 (AND) がとられる)。

   conntrack
       コネクション追跡 (connection tracking) と組み合わせて使用した場合に、 このモジュールを使う
       と、 パケットやコネクションの追跡状態を知ることができる。

       [!] --ctstate statelist
              statelist はマッチするコネクション状態 (connection state) のリストで、 コンマ区切り
              で指定する。 指定できる状態のリストは後述。

       [!] --ctproto l4proto
              指定されたレイヤ  4  のプロトコルにマッチする。  プロトコルは名前または数値で指定す
              る。

       [!] --ctorigsrc address[/mask]

       [!] --ctorigdst address[/mask]

       [!] --ctreplsrc address[/mask]

       [!] --ctrepldst address[/mask]
              順方向/反対方向のコネクションの送信元/宛先アドレスにマッチする。

       [!] --ctorigsrcport port[:port]

       [!] --ctorigdstport port[:port]

       [!] --ctreplsrcport port[:port]

       [!] --ctrepldstport port[:port]
              順方向/反対方向のコネクションの  (TCP/UDPなどの) 送信元/宛先ポートアドレス、 もしく
              は GRE キーにマッチする。 ポートの範囲指定はカーネル 2.6.38  以降でのみサポートされ
              ている。

       [!] --ctstatus statelist
              statuslist はマッチするコネクション状況 (connection status) のリストで、 コンマ区切
              りで指定する。 指定できる状況のリストは後述。

       [!] --ctexpire time[:time]
              有効期間の残り秒数、 またはその範囲(両端を含む)にマッチする。

       --ctdir {ORIGINAL|REPLY}
              指定した方向に流れるパケットにマッチする。   このフラグが全く指定されなかった場合、
              両方向のパケットがマッチする。

       --ctstate に指定できる状態は以下の通り。

       INVALID
              そのパケットはどの既知のコネクションとも関連付けられていない。

       NEW    そのパケットが新しいコネクションを開始しようとしている。  もしくは、 両方の方向でパ
              ケットが観測されていないコネクションに関連付けられる。

       ESTABLISHED
              そのパケットが、 両方向のパケットが観測されたコネクションに関連付けられる。

       RELATED
              そのパケットは、新しいコネクションを開始しようとしているが、 既存のコネクションと関
              連付けられる。 FTP データ転送や ICMP エラーなどが該当する。

       UNTRACKED
              そのパケットは全く追跡されていない。 この状態は、 raw テーブルで -j CT --notrack を
              使って明示的にそのパケットを追跡しないようにしている場合に起こる。

       SNAT   元の送信元アドレスが応答の宛先アドレスと異なる場合にマッチする仮想的な状態。

       DNAT   元の宛先アドレスが応答の送信元アドレスと異なる場合にマッチする仮想的な状態。

       --ctstatus に指定できる値は以下の通り。

       NONE   以下のいずれでもない。

       EXPECTED
              期待通りのコネクションである (つまり conntrack のヘルパーがコネクションをセットアッ
              プした)。

       SEEN_REPLY
              conntrack が両方の方向でパケットを観測済である。

       ASSURED
              conntrack エントリが early-expired されることはない。

       CONFIRMED
              Connection is confirmed: originating packet has left box.

   cpu
       [!] --cpu number
              このパケットを処理する  CPU にマッチする。 CPU には 0 から NR_CPUS-1 の番号が振られ
              る。 ネットワークトラフィックを複数のキューに分散させるために  RPS  (Remote  Packet
              Steering) やマルチキュー NIC と組み合わせて使用できる。

       例:

       iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-port 8080

       iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-port 8081

       Linux 2.6.36 以降で利用可能。

   dccp
       [!] --source-port,--sport port[:port]

       [!] --destination-port,--dport port[:port]

       [!] --dccp-types mask
              DCCP  パケットタイプが  mask のいずれかであればマッチする。 mask はカンマ区切りのパ
              ケットタイプのリストである。 指定できるパケットタイプは REQUEST RESPONSE  DATA  ACK
              DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID である。

       [!] --dccp-option number
              DCCP オプションが設定されている場合にマッチする。

   devgroup
       パケットの受信/送信インターフェースのデバイスグループにマッチする。

       [!] --src-group name
              受信デバイスのデバイスグループにマッチする

       [!] --dst-group name
              送信デバイスのデバイスグループにマッチする

   dscp
       このモジュールは、 IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチ
       する。 IETF では DSCP が TOS に取って代わった。

       [!] --dscp value
              (10 進または 16 進の) 数値 [0-63] にマッチする。

       [!] --dscp-class class
              DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。  対応
              する数値に変換される。

   dst (IPv6 のみ)
       このモジュールは宛先オプションヘッダーのパラメータにマッチする。

       [!] --dst-len length
              このヘッダーの全体の長さ (8進数)。

       --dst-opts type[:length][,type[:length]...]
              数値のオプションタイプとオプションデータのオクテット単位の長さ。

   ecn
       IPv4/IPv6  と  TCP ヘッダーの ECN ビットにマッチングを行う。 ECN とは RFC3168 で規定された
       Explicit Congestion Notification (明示的な輻輳通知) 機構のことである。

       [!] --ecn-tcp-cwr
              TCP ECN CWR (Congestion Window Received) ビットがセットされている場合にマッチする。

       [!] --ecn-tcp-ece
              TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチする。

       [!] --ecn-ip-ect num
              特定の IPv4/IPv6 ECT (ECN-Capable Transport) にマッチする。 `0' 以上 `3' 以下の値を
              指定しなければならない。

   esp
       このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。

       [!] --espspi spi[:spi]

   eui64 (IPv6 のみ)
       このモジュールは  stateless の自動で設定された IPv6 アドレスの EUI-64 の部分にマッチする。
       Ethernet の送信元 MAC アドレスに基づく EUI-64 と IPv6 送信元アドレスの下位 64 ビットの比較
       が行われる。  ただし "Universal/Local" ビットは比較されない。 このモジュールは他のリンク層
       フレームにはマッチしない。 このモジュールは PREROUTING, INPUT, FORWARD  チェインでのみ有効
       である。

   frag (IPv6 のみ)
       このモジュールはフラグメントヘッダーのパラメータにマッチする。

       [!] --fragid id[:id]
              指定された値もしくは範囲の ID にマッチする。

       [!] --fraglen length
              このオプションはバージョン 2.6.10 以降のカーネルでは使用できない。 フラグメントヘッ
              ダー長は変化しないので、このオプションは意味を持たない。

       --fragres
              予約フィールドに 0 が入っている場合にマッチする。

       --fragfirst
              最初のフラグメントにマッチする。

       --fragmore
              さらにフラグメントが続く場合にマッチする。

       --fraglast
              最後のフラグメントの場合にマッチする。

   hashlimit
       hashlimit uses hash buckets to express a rate limiting match (like the limit match) for  a
       group  of  connections  using  a  single iptables rule. Grouping can be done per-hostgroup
       (source and/or destination address) and/or per-port. It gives you the ability  to  express
       "N  packets  per  time  quantum  per  group"  or "N bytes per seconds" (see below for some
       examples).

       hash limit オプション (--hashlimit-upto, --hashlimit-above) と --hashlimit-name は必須であ
       る。

       --hashlimit-upto amount[/second|/minute|/hour|/day]
              単位時間あたりの平均マッチ回数の最大値。     数値で指定され、    添字    `/second',
              `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。

       --hashlimit-above amount[/second|/minute|/hour|/day]
              レートが指定された区間での amount より大きい場合にマッチする。

       --hashlimit-burst amount
              パケットがマッチする回数の最大初期値:  上のオプションで指定した制限に達しなければ、
              マッチするごとに、  この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。
              バイトでのレート照合が要求された場合、 このオプションは指定レートを超過できるバイト
              数を規定する。 このオプションを使用する際には注意が必要である -- エントリがタイムア
              ウトで削除される際に、バースト値もリセットされる。

       --hashlimit-mode {srcip|srcport|dstip|dstport},...
              対象とする要素のカンマ区切りのリスト。 --hashlimit-mode  オプションが指定されなかっ
              た場合、  hashlimit  は limit と同じ動作をするが、 ハッシュの管理を行うコストがかか
              る。

       --hashlimit-srcmask prefix
              When --hashlimit-mode srcip is used,  all  source  addresses  encountered  will  be
              grouped  according  to  the  given  prefix length and the so-created subnet will be
              subject to hashlimit. prefix must be  between  (inclusive)  0  and  32.  Note  that
              --hashlimit-srcmask 0 is basically doing the same thing as not specifying srcip for
              --hashlimit-mode, but is technically more expensive.

       --hashlimit-dstmask prefix
              Like --hashlimit-srcmask, but for destination addresses.

       --hashlimit-name foo
              /proc/net/ipt_hashlimit/foo エントリの名前。

       --hashlimit-htable-size buckets
              ハッシュテーブルのバケット数。

       --hashlimit-htable-max entries
              ハッシュの最大エントリ数。

       --hashlimit-htable-expire msec
              ハッシュエントリが何ミリ秒後に削除されるか。

       --hashlimit-htable-gcinterval msec
              ガベージコレクションの間隔 (ミリ秒)。

       例:

       送信元ホストに対するマッチ
              "192.168.0.0/16  の各ホストに対して  1000   パケット/秒"   =>   -s   192.168.0.0/16
              --hashlimit-mode srcip --hashlimit-upto 1000/sec

       送信元ポートに対するマッチ
              "192.168.1.1    の各サービスに対して    100    パケット/秒"   =>   -s   192.168.1.1
              --hashlimit-mode srcport --hashlimit-upto 100/sec

       サブネットに対するマッチ
              "10.0.0.0/8 内の /28 サブネット (アドレス 8 個のグループ) それぞれに対して 10000 パ
              ケット/秒" => -s 10.0.0.0/8 --hashlimit-mask 28 --hashlimit-upto 10000/min

       バイト/秒によるマッチ
              "512kbyte/s   を超過したフロー"   =>  --hashlimit-mode  srcip,dstip,srcport,dstport
              --hashlimit-above 512kb/s

       バイト/秒によるマッチ
              "512kbyte/s を超過するとマッチするが、  1  メガバイトに達するまではマッチせず許可す
              る" --hashlimit-mode dstip --hashlimit-above 512kb/s --hashlimit-burst 1mb

   hbh (IPv6 のみ)
       このモジュールは Hop-by-Hop オプションヘッダーのパラメータにマッチする。

       [!] --hbh-len length
              このヘッダーの全体の長さ (8進数)。

       --hbh-opts type[:length][,type[:length]...]
              数値のオプションタイプとオプションデータのオクテット単位の長さ。

   helper
       このモジュールは、 指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチ
       する。

       [!] --helper string
              指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。

              デフォルトのポートを使った ftp-セッションに関連するパケットでは、 string  に  "ftp"
              と書ける。 他のポートでは "-ポート番号" を値に付け加える。 すなわち "ftp-2121" とな
              る。

              他のコネクション追跡ヘルパーでも同じルールが適用される。

   hl (IPv6 のみ)
       このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。

       [!] --hl-eq value
              Hop Limit が value と同じ場合にマッチする。

       --hl-lt value
              Hop Limit が value より小さい場合にマッチする。

       --hl-gt value
              Hop Limit が value より大きい場合にマッチする。

   icmp (IPv4 の場合)
       この拡張は `--protocol icmp' が指定された場合に使用でき、 以下のオプションが提供される:

       [!] --icmp-type {type[/code]|typename}
              ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タイプ、 タイプ/コードの組、
              または以下のコマンド で表示される ICMP タイプ名を指定できる。
               iptables -p icmp -h

   icmp6 (IPv6 のみ)
       これらの拡張は  `--protocol ipv6-icmp' または `--protocol icmpv6' が指定された場合に使用で
       き、 以下のオプションが提供される:

       [!] --icmpv6-type type[/code]|typename
              ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP typetypecode、 また
              は以下のコマンド で表示される ICMPv6 タイプ名を指定できる。
               ip6tables -p ipv6-icmp -h

   iprange
       このモジュールは指定された任意の範囲の IP アドレスにマッチする。

       [!] --src-range from[-to]
              指定された範囲の送信元 IP にマッチする。

       [!] --dst-range from[-to]
              指定された範囲の宛先 IP にマッチする。

   ipv6header (IPv6 のみ)
       このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。

       --soft パケットが --header で指定されたヘッダーのいずれかを含む場合にマッチする。

       [!] --header header[,header...]
              Matches  the  packet  which  EXACTLY  includes  all  specified headers. The headers
              encapsulated with ESP header are out of scope.  Possible header types can be:

       hop|hop-by-hop
              Hop-by-Hop オプションヘッダー

       dst    宛先オプションヘッダー

       route  ルーティングヘッダー

       frag   フラグメントヘッダー

       auth   認証ヘッダー (AH)

       esp    ESP (Encapsulating Security Payload) ヘッダー

       none   No Next header which matches 59 in the 'Next Header field' of IPv6  header  or  any
              IPv6 extension headers

       proto  which  matches any upper layer protocol header. A protocol name from /etc/protocols
              and numeric value also allowed. The number 255 is equivalent to proto.

   ipvs
       IPVS コネクション属性にマッチする。

       [!] --ipvs
              IPVS コネクションに属すパケット

       以下のオプションでは --ipvs も暗黙のうちに指定される (否定の場合も含む)

       [!] --vproto protocol
              マッチする VIP プロトコル (数値か名前 (例えば "tcp") で指定する)

       [!] --vaddr address[/mask]
              マッチする VIP アドレス

       [!] --vport port
              マッチする VIP プロトコル (数値か名前 (例えば

       --vdir {ORIGINAL|REPLY}
              パケットフローの方向

       [!] --vmethod {GATE|IPIP|MASQ}
              使用する IPVS の転送方法

       [!] --vportctl port
              マッチする制御用コネクションの VIP ポート (例えば FTP であれば 21)

   length
       このモジュールは、 パケットのレイヤ 3 ペイロード (例えばレイヤ 4 パケット) の長さが、 指定
       された値、 または値の範囲にあればマッチする。

       [!] --length length[:length]

   limit
       このモジュールは、  トークンバケットフィルタを使って制限レートのマッチを行う。  この拡張を
       使ったルールは、指定された制限に達するまでマッチする。 例えば、 このモジュールはログ記録を
       制限するために LOG ターゲットと組み合わせて使うことができる。

       xt_limit  has  no negation support - you will have to use -m hashlimit !  --hashlimit rate
       in this case whilst omitting --hashlimit-mode.

       --limit rate[/second|/minute|/hour|/day]
              単位時間あたりの平均マッチ回数の最大値。    数値で指定され、    添字     `/second',
              `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。

       --limit-burst number
              パケットがマッチする回数の最大初期値:  上のオプションで指定した制限に達しなければ、
              マッチするごとに、 この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。

   mac
       [!] --mac-source address
              送信元 MAC アドレスにマッチする。 address は XX:XX:XX:XX:XX:XX と  いう形式でなけれ
              ばならない。 イーサーネットデバイスから入ってくるパケッ トで、 PREROUTING, FORWARD,
              INPUT チェインに入るパケットにしか 意味がない。

   mark
       このモジュールはパケットに関連づけられた netfilter の  mark  フィールドにマッチする  (この
       フィールドは、 以下の MARK ターゲットで設定される)。

       [!] --mark value[/mask]
              指定された符号なしの  mark 値を持つパケットにマッチする (mask が指定されると、 比較
              の前に mask との論理積 (AND) がとられる)。

   mh (IPv6 のみ)
       この拡張は `--protocol ipv6-mh' または `--protocol mh' が指定された場合にロードされる。 以
       下のオプションが提供される。

       [!] --mh-type type[:type]
              Mobility  Header (MH) タイプを指定できる。 タイプ指定には、 数値の MH タイプか、 以
              下のコマンドで表示される MH タイプ名を指定できる。
               ip6tables -p mh -h

   multiport
       このモジュールは送信元ポートや宛先ポートの集合にマッチする。  ポートは  15  個まで指定でき
       る。 ポートの範囲指定 (port:port) は 2 ポートとカウントされる。 このモジュールが使用できる
       のは tcp, udp, udplite, dccp, sctp のいずれかと組み合わせた場合だけである。

       [!] --source-ports,--sports port[,port|,port:port]...
              送信元ポートが指定されたポートのいずれにマッチする。 フラグ --sports はこのオプショ
              ンの便利な別名である。  複数のポートやポート範囲がカンマ区切りで指定できる。 ポート
              範囲はコロン区切りで指定する。 したがって 53,1024:65535 はポート 53 および 1024  か
              ら 65535 までの全ポートにマッチする。

       [!] --destination-ports,--dports port[,port|,port:port]...
              宛先ポートが指定されたポートのうちのいずれかであればマッチする。   フラグ  --dports
              は、 このオプションの便利な別名である。

       [!] --ports port[,port|,port:port]...
              送信元ポートと宛先ポートの一方が指定されたポートのいずれか一つと等しければ、 マッチ
              する。

   nfacct
       nfacct  マッチングは iptable に拡張アカウンティング機構を提供する。 このマッチングモジュー
       ルはユーザー空間スタンドアロンユーティリティ nfacct(8) と一緒に使う必要がある。

       以下のオプションだけがこのマッチングで使用できる。

       --nfacct-name name
              このルールセットがマッチするトラフィック量を記録するのに使用する既存のオブジェクト
              名を指定する。

       この拡張を使用するには、アカウンティングオブジェクトを作成する必要があります。

              nfacct add http-traffic

       それから、iptables を使ってアカウンティングオブジェクトにトラフィックを関連付けます。

              iptables -I INPUT -p tcp --sport 80 -m nfacct --nfacct-name http-traffic

              iptables -I OUTPUT -p tcp --dport 80 -m nfacct --nfacct-name http-traffic

       そうすると、ルールにマッチしたトラフィック量をチェックできる。

              nfacct get http-traffic

              { pkts = 00000000000000000156, bytes = 00000000000000151786 } = http-traffic;

       nfacct(8)  は  http://www.netfilter.org  もしくは git.netfilter.org リポジトリから入手でき
       る。

   osf
       osf モジュールは受動的な OS (オペレーティングシステム) フィンガープリンティングを行う。 こ
       のモジュールは  SYN ビットがセットされたパケットのいくつかのデータ (Window Size, MSS, オプ
       ションとその順序, TTL, DF など) を比較する。

       [!] --genre string
              受動的フィンガープリンティングでマッチさせるオペレーティングシステムのジャンル。

       --ttl level
              パケットに対して、オペレーティングシステムを判定するための追加の  TTL  チェックを行
              う。 level には以下の値のいずれを指定できる。

       •   0  -  本当の  IP アドレスとフィンガープリント TTL の比較を行う。 一般に LAN で有効であ
           る。

       •   1 - IP ヘッダーの TTL がフィンガープリント TTL より小さいかチェックする。 グローバルに
           ルーティング可能なアドレスで有効である。

       •   2 - TTL の比較を全く行わない。

       --log level
           判別したジャンルが期待するものと違う場合でもロギングするかどうか。  level には以下のい
           ずれかを指定できる。

       •   マッチしたシグネチャーと不明なシグネチャーをすべて記録する

       •   1 - 最初にマッチしたもののみを記録する

       •   2 - マッチした既知のシグネチャーをすべて記録する

       syslog に以下のようなメッセージが記録される。

       Windows [2000:SP3:Windows XP Pro  SP1,  2000  SP3]:  11.22.33.55:4024  ->  11.22.33.44:139
       hops=3 Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

       OS フィンガープリントは nfnl_osf プログラムを使ってロードできる。 ファイルからフィンガープ
       リントをロードするには以下のようにする。

       nfnl_osf -f /usr/share/xtables/pf.os

       再度削除するには以下のようにする。

       nfnl_osf -f /usr/share/xtables/pf.os -d

       フィンガープリントデータベースは http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os  から
       ダウンロードできる。

   owner
       このモジュールは、 ローカルで生成されたパケットに対して、 パケット生成者の様々な特性に対す
       るマッチを行う。 このマッチは OUTPUT チェインか POSTROUTING チェインでのみ有効である。  転
       送パケットはどのソケットとも関連付けられていない。  カーネルスレッドからのパケットには対応
       するソケットがあるが、 通常ソケットの所有者はいない。

       [!] --uid-owner username

       [!] --uid-owner userid[-userid]
              そのパケットのソケットのファイル構造体が存在し、ソケットの所有者が指定されたユー
              ザーの場合にマッチする。 数値の UID や UID の範囲を指定することもできる。

       [!] --gid-owner groupname

       [!] --gid-owner groupid[-groupid]
              そのパケットのソケットのファイル構造体の所有者が指定されたグループの場合にマッチす
              る。 数値の GID や GID の範囲を指定することもできる。

       [!] --socket-exists
              パケットがソケットに関連付けられている場合にマッチする。

   physdev
       このモジュールは、  ブリッジデバイスのスレーブにされた、  ブリッジポートの入出力デバイスに
       マッチする。 このモジュールは、 ブリッジによる透過的な IP ファイアウォールの基盤の一部であ
       り、 カーネルバージョン 2.5.44 以降でのみ有効である。

       [!] --physdev-in name
              パケットが受信されるブリッジのポート名 (INPUT, FORWARD, PREROUTING チェインに入るパ
              ケットのみ)。  インターフェース名が "+" で終っている場合、 その名前で始まる任意のイ
              ンターフェース名にマッチする。   ブリッジデバイスを通して受け取られなかったパケット
              は、 '!' が指定されていない限り、 このオプションにマッチしない。

       [!] --physdev-out name
              パケットを送信することになるブリッジのポート名 (FORWARD, OUTPUT, POSTROUTING チェイ
              ンに入るパケットのみ)。 インターフェース名が "+" で終っている場合、  その名前で始ま
              る任意のインターフェース名にマッチする。 natmangle テーブルの OUTPUT チェインで
              はブリッジの出力ポートにマッチさせることができないが、 filter テーブルの OUPUT チェ
              インではマッチ可能である。  パケットがブリッジデバイスから送られなかった場合、 また
              はパケットの出力デバイスが不明であった場合は、 '!' が指定されていない限り、  パケッ
              トはこのオプションにマッチしない。

       [!] --physdev-is-in
              パケットがブリッジインターフェースに入った場合にマッチする。

       [!] --physdev-is-out
              パケットがブリッジインターフェースから出ようとした場合にマッチする。

       [!] --physdev-is-bridged
              パケットがブリッジされることにより、  ルーティングされなかった場合にマッチする。 こ
              れは FORWARD, POSTROUTING チェインにおいてのみ役立つ。

   pkttype
       このモジュールは、 リンク層のパケットタイプにマッチする。

       [!] --pkt-type {unicast|broadcast|multicast}

   policy
       このモジュールはパケットを処理する IPsec が使用するポリシーにマッチする。

       --dir {in|out}
              復号 (decapsulation)  に使用するポリシーにマッチするか、カプセル化  (encapsulation)
              に使用するポリシーにマッチするかを指定する。   in   はチェイン  PREROUTING,  INPUT,
              FORWARD で有効で、 out はチェイン POSTROUTING, OUTPUT, FORWARD で有効である。

       --pol {none|ipsec}
              パケットが IPsec 処理対象であればマッチする。 --pol none--strict と一緒に使用で
              きない。

       --strict
              ポリシーが正確にマッチするか、指定したポリシーがポリシーのいずれかのルールにマッチ
              するかを指定する。

       それぞれのポリシー要素を定義するのに、以下のオプション  (複数可)  を使用することができる。
       --strict  が有効になっている場合、各要素につき少なくともオプションを一つ指定しなければなら
       ない。

       [!] --reqid id
              ポリシールールの reqid にマッチする。 reqid は setkey(8)  でレベルとして  unique:id
              を使って指定できる。

       [!] --spi spi
              SA の SPI にマッチする。

       [!] --proto {ah|esp|ipcomp}
              カプセル化プロトコルにマッチする。

       [!] --mode {tunnel|transport}
              カプセル化モードにマッチする。

       [!] --tunnel-src addr[/mask]
              トンネルモード SA の送信元エンドポイントアドレスにマッチする。 --mode tunnel との組
              み合わせでのみ有効。

       [!] --tunnel-dst addr[/mask]
              トンネルモード SA の宛先エンドポイントアドレスにマッチする。 --mode tunnel との組み
              合わせでのみ有効。

       --next ポリシー定義の次の要素から開始する。 --strict との組み合わせでのみ使用できる。

   quota
       Implements  network  quotas by decrementing a byte counter with each packet. The condition
       matches until the byte counter reaches zero. Behavior is reversed with negation (i.e.  the
       condition does not match until the byte counter reaches zero).

       [!] --quota bytes
              バイト単位のクォータ。

   rateest
       レート推測器  (rate  estimator)  は RATEEST ターゲットで収集された推定レートにマッチする。
       bps/pps の絶対値に対するマッチング、 2 つのレート推測器の比較、 2 つのレート推測器の差分に
       対するマッチングをサポートしている。

       利用可能なオプションが分かりやすいように、すべての可能な組み合わせを以下に示す。

       •   rateest operator rateest-bpsrateest operator rateest-pps

       •   (rateest minus rateest-bps1) operator rateest-bps2

       •   (rateest minus rateest-pps1) operator rateest-pps2rateest1 operator rateest2 rateest-bps(without rate!)

       •   rateest1 operator rateest2 rateest-pps(without rate!)

       •   (rateest1 minus rateest-bps1) operator (rateest2 minus rateest-bps2)

       •   (rateest1 minus rateest-pps1) operator (rateest2 minus rateest-pps2)

       --rateest-delta
           (絶対モードでも相対モードでも)  各レート推測器について、  レート推測器が推測したフロー
           レートと BPS/PPS オプションで指定された固定値の差分を計算する。 フローレートが指定され
           た  BPS/PPS  よりも大きい場合、 負の値ではなく 0 が代わりに使用される。 つまり "max(0,
           rateest#_rate - rateest#_bps)" が使用される。

       [!] --rateest-lt
           レートが指定されたレートかレート推測器のレートよりも低い場合にマッチする。

       [!] --rateest-gt
           レートが指定されたレートかレート推測器のレートよりも高い場合にマッチする。

       [!] --rateest-eq
           レートが指定されたレートかレート推測器のレートと等しい場合にマッチする。

       いわゆる「絶対モード」では、使用できるレート推測器は一つだけであり、固定値に対する比較だけ
       ができる。一方、「相対モード」では、2 つのレート推測器が使用でき、レート推測器どうしの比較
       ができる。

       --rateest name
              絶対モードで使用するレート推測器の名前

       --rateest1 name

       --rateest2 name
              相対モードで使用する 2 つレート推測器の名前

       --rateest-bps [value]

       --rateest-pps [value]

       --rateest-bps1 [value]

       --rateest-bps2 [value]

       --rateest-pps1 [value]

       --rateest-pps2 [value]
              レート推測器と指定した値を、秒間のバイト数またはパケット数で比較する。 どのオプショ
              ンがどの場合に使用できるかは上の箇条書きのリストを見てほしい。 単位を示す接尾辞を付
              けることができる。 bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps  が使用で
              きる。

       例:  この機能を、データコネクションの開始時に利用可能帯域に基づいて、 FTP サーバーからの出
       力データコネクションを 2 つの回線に振り分けるのに使用する場合。

       # 出力レートを推定する

       iptables  -t  mangle   -A   POSTROUTING   -o   eth0   -j   RATEEST   --rateest-name   eth0
       --rateest-interval 250ms --rateest-ewma 0.5s

       iptables   -t   mangle   -A   POSTROUTING   -o   ppp0   -j   RATEEST  --rateest-name  ppp0
       --rateest-interval 250ms --rateest-ewma 0.5s

       # 利用可能帯域に基づいてマーキングを行う

       iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest
       --rateest-delta  --rateest1  eth0  --rateest-bps1  2.5mbit  --rateest-gt  --rateest2  ppp0
       --rateest-bps2 2mbit -j CONNMARK --set-mark 1

       iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest
       --rateest-delta   --rateest1   ppp0  --rateest-bps1  2mbit  --rateest-gt  --rateest2  eth0
       --rateest-bps2 2.5mbit -j CONNMARK --set-mark 2

       iptables -t mangle -A balance -j CONNMARK --restore-mark

   realm (IPv4 の場合)
       This matches the routing realm.   Routing  realms  are  used  in  complex  routing  setups
       involving dynamic routing protocols like BGP.

       [!] --realm value[/mask]
              Matches a given realm number (and optionally mask). If not a number, value can be a
              named realm from /etc/iproute2/rt_realms (mask can not be used in that case).

   recent
       IP アドレスのリストを動的に作成し、このリストに対するマッチングをいくつかの方法で行う。

       例えば、 あなたのファイアウォールの  139  番ポートに接続しようとした「悪ガキ」リストを作成
       し、 そのアドレスからのこれ以降のすべてのパケットを「廃棄」する。

       --set, --rcheck, --update, --remove は同時に使用できない。

       --name name
              コマンドで使用するリストを指定する。名前が指定されなかった場合  DEFAULT  が使用され
              る。

       [!] --set
              リストにパケットの送信元アドレスを追加する。 その送信元アドレスがすでにリストにある
              場合は、既存のエントリーを更新する。  常に成功を返す (!  が指定されている場合は常に
              失敗を返す)。

       --rsource
              recent  リストのテーブルの照合/保存で、各パケットの送信元アドレスを使う。  これがデ
              フォルトである。

       --rdest
              recent リストのテーブルの照合/保存で、各パケットの宛先アドレスを使う。

       --mask netmask
              この recent リストに適用するネットマスク。

       [!] --rcheck
              このパケットの送信元アドレスが現在リストに含まれるかをチェックする。

       [!] --update
              --rcheck と同じだが、 このオプションではマッチした場合に "last seen" タイムスタンプ
              を更新する。

       [!] --remove
              パケットの送信元アドレスが現在リストに含まれているかをチェックし、   含まれている場
              合、そのアドレスをリストから削除し、ルールは  true  を返す。 アドレスが含まれない場
              合、false を返す。

       --seconds seconds
              このオプションは --rcheck--update との組み合わせでのみ使用できる。 使用された場
              合、 アドレスがリストに含まれ、かつそのアドレスが直近の指定された秒数以内に観測され
              た場合にのみ、 マッチするようになる。

       --reap このオプションは --seconds との組み合わせでのみ使用できる。 使用された場合、 最後に
              指定された秒数より古いエントリーを破棄する。

       --hitcount hits
              このオプションは --rcheck--update との組み合わせて使用しなければならない。 使用
              された場合、 アドレスがリストに含まれ、受信されたパケット数が指定した値以上の場合に
              のみマッチするようになる。 このオプションは --seconds と共に使用することもでき、 そ
              の場合は指定された時間内のヒット数に対して照合を行う。 hitcount  パラメータの最大値
              は xt_recent カーネルモードの "ip_pkt_list_tot" パラメータで規定される。 このコマン
              ドリストでこの値よりも大きな値を指定すると、そのルールは拒否される。

       --rttl このオプションは --rcheck--update との組み合わせでのみ使用できる。 使用された場
              合、 アドレスがリストに含まれ、かつ現在のパケットの TTL が --set ルールにヒットした
              パケットの TTL にマッチする場合にのみマッチするようになる。 このオプションは、 送信
              元アドレスを偽装する人が偽りのパケットを送信して、このモジュールを使ってあなたのサ
              イトへの他のアクセスができないようにする DoS 攻撃がある場合などに役に立つかもしれな
              い。

       例:

              iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP

              iptables  -A  FORWARD  -p  tcp -i eth0 --dport 139 -m recent --name badguy --set -j
              DROP

       /proc/net/xt_recent/* は現在のアドレスのリストと各リストの各エントリーの情報である。

       /proc/net/xt_recent/   の各ファイルは、読み出して現在のリストを確認することができる。   ま
       た、以下のコマンドを使って、 これらのファイルに書き込んでリストを変更することができる。

       echo +addr >/proc/net/xt_recent/DEFAULT
              DEFAULT リストに addr を追加する

       echo -addr >/proc/net/xt_recent/DEFAULT
              DEFAULT リストから addr を削除する

       echo / >/proc/net/xt_recent/DEFAULT
              DEFAULT リストをフラッシュ (全エントリーを削除) する

       モジュール自体もパラメーターを取り、デフォルトは以下の通りである。

       ip_list_tot=100
              テーブル単位の記録アドレス数。

       ip_pkt_list_tot=20
              アドレス単位の記録パケット数。

       ip_list_hash_size=0
              ハッシュテーブルサイズ。 0 は ip_list_tot に基づいて計算することを意味する。 デフォ
              ルトは 512。

       ip_list_perms=0644
              /proc/net/xt_recent/* ファイルのアクセス許可モード。

       ip_list_uid=0
              /proc/net/xt_recent/* ファイルの数値 ID での所有者。

       ip_list_gid=0
              /proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。

   rpfilter
       パケットに対して reverse path フィルターテストを行う。  パケットに対する応答がパケットが到
       着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。
       カーネル内の rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意する
       こと。 必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバック
       インターフェース経由で到着したパケットは常に許可される。 このマッチは  raw  テーブルまたは
       mangle テーブルの PREROUTING チェインでのみ使用できる。

       --loose
              選択された出力デバイスが期待されたものではない場合であっても、  reverse path フィル
              ターテストのマッチを行うことを指示する。

       --validmark
              reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。

       --accept-local
              ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパ
              ケットを許可する。

       --invert
              マッチの意味を逆にする。  reverse path フィルターテストに合格したパケットにマッチす
              るのではなく、テストに失敗したパケットにマッチする。

       reverse path フィルターテストに失敗したパケットをロギングし破棄する例

       iptables -t raw -N RPFILTER

       iptables -t raw -A RPFILTER -m rpfilter -j RETURN

       iptables -t raw -A RPFILTER -m limit --limit 10/minute -j NFLOG  --nflog-prefix  "rpfilter
       drop"

       iptables -t raw -A RPFILTER -j DROP

       iptables -t raw -A PREROUTING -j RPFILTER

       失敗したパケットをドロップするが、ロギングを行わない例

       iptables -t raw -A RPFILTER -m rpfilter --invert -j DROP

   rt (IPv6 のみ)
       IPv6 ルーティングヘッダーに対してマッチする。

       [!] --rt-type type
              指定したタイプ (数値) にマッチする。

       [!] --rt-segsleft num[:num]
              `segments left' フィールド (範囲) にマッチする。

       [!] --rt-len length
              このヘッダーの長さにマッチする。

       --rt-0-res
              予約フィールド (type=0) にもマッチする。

       --rt-0-addrs addr[,addr...]
              type=0 のアドレス (リスト) にマッチする。

       --rt-0-not-strict
              type=0 のアドレスのリストは厳密なリストではない。

   sctp
       [!] --source-port,--sport port[:port]

       [!] --destination-port,--dport port[:port]

       [!] --chunk-types {all|any|only} chunktype[:flags] [...]
              大文字のフラグ文字はそのフラグがセットされている場合にマッチし、 小文字のフラグ文字
              はセットされていない場合にマッチすることを指示する。

              チャンク種別: DATA  INIT  INIT_ACK  SACK  HEARTBEAT  HEARTBEAT_ACK  ABORT  SHUTDOWN
              SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE ASCONF
              ASCONF_ACK FORWARD_TSN

              チャンク種別で利用可能なフラグ
              DATA I U B E i u b e
              ABORT T t
              SHUTDOWN_COMPLETE T t

              (小文字はフラグを「オフ」にすることを、大文字は「オン」にすることを意味する)

       例:

       iptables -A INPUT -p sctp --dport 80 -j DROP

       iptables -A INPUT -p sctp --chunk-types any DATA,INIT -j DROP

       iptables -A INPUT -p sctp --chunk-types any DATA:Be -j ACCEPT

   set
       このモジュールは ipsec(8) で定義できる IP 集合にマッチする。

       [!] --match-set setname flag[,flag]...
              where flags are the comma separated list of src and/or dst specifications and there
              can be no more than six of them. Hence the command

               iptables -A FORWARD -m set --match-set test src,dst

              will match packets, for which (if the set type is ipportmap) the source address and
              destination port pair can be found in the specified set. If the  set  type  of  the
              specified  set is single dimension (for example ipmap), then the command will match
              packets for which the source address can be found in the specified set.

       --return-nomatch
              If the --return-nomatch option is specified and the set type supports  the  nomatch
              flag,  then  the matching is reversed: a match with an element flagged with nomatch
              returns true, while a match with a plain element returns false.

       ! --update-counters
              If the --update-counters flag is negated, then the packet and byte counters of  the
              matching  element in the set won't be updated. Default the packet and byte counters
              are updated.

       ! --update-subcounters
              If the --update-subcounters flag is negated, then the packet and byte  counters  of
              the  matching  element  in  the  member set of a list type of set won't be updated.
              Default the packet and byte counters are updated.

       [!] --packets-eq value
              If the packet is matched an element in the set, match only if the packet counter of
              the element matches the given value too.

       --packets-lt value
              If the packet is matched an element in the set, match only if the packet counter of
              the element is less than the given value as well.

       --packets-gt value
              If the packet is matched an element in the set, match only if the packet counter of
              the element is greater than the given value as well.

       [!] -bytes-eq value
              If  the  packet is matched an element in the set, match only if the byte counter of
              the element matches the given value too.

       --bytes-lt value
              If the packet is matched an element in the set, match only if the byte  counter  of
              the element is less than the given value as well.

       --bytes-gt value
              If  the  packet is matched an element in the set, match only if the byte counter of
              the element is greater than the given value as well.

       The packet and byte counters related options and  flags  are  ignored  when  the  set  was
       defined without counter support.

       The  option  --match-set can be replaced by --set if that does not clash with an option of
       other extensions.

       Use of -m set requires that ipset kernel support is provided, which, for standard kernels,
       is the case since Linux 2.6.39.

   socket
       This  matches  if  an  open  TCP/UDP  socket  can be found by doing a socket lookup on the
       packet. It matches if there is an established or non-zero bound listening socket (possibly
       with  a  non-local  address).  The  lookup  is performed using the packet tuple of TCP/UDP
       packets, or the original TCP/UDP header embedded in an ICMP/ICPMv6 error packet.

       --transparent
              非透過 (non-transparent) ソケットを無視する。

       --nowildcard
              Do not ignore sockets bound to  'any'  address.   The  socket  match  won't  accept
              zero-bound  listeners by default, since then local services could intercept traffic
              that would otherwise be forwarded.  This option therefore has security implications
              when  used  to  match  traffic  being  forwarded  to redirect such packets to local
              machine with policy routing.  When  using  the  socket  match  to  implement  fully
              transparent  proxies  bound  to  non-local  addresses  it is recommended to use the
              --transparent option instead.

       Example (assuming packets with mark 1 are delivered locally):

              -t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1

   state
       "state" 拡張は "conntrack" モジュールのサブセットである。 "state" を使うと、  パケットにつ
       いてのコネクション追跡状態を参照できる。

       [!] --state state
              state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解
              できる状態の一部だけが指定できる。  指定できるのは   INVALID,   ESTABLISHED,   NEW,
              RELATED, UNTRACKED である。 これらの説明はこのマニュアルページの "conntrack" の説明
              を参照のこと。

   statistic
       このモジュールは統計的な条件に基づいたパケットのマッチングを行う。  二つのモードがサポート
       されており、 --mode オプションで設定できる。

       サポートされているオプション:

       --mode mode
              マッチングルールのマッチングモードを設定する。 サポートされているモードは randomnth である。

       [!] --probability p
              ランダムにパケットがマッチする確率を設定する。 random モードでのみ機能する。  p  は
              0.0  と  1.0  の範囲でなければならない。 サポートされている粒度は 1/2147483648 であ
              る。

       [!] --every n
              n パケットに 1 つマッチする。  nth  モードでのみ機能する  (--packet  オプションも参
              照)。

       --packet p
              nth モードでカウンターの初期値を設定する (0 <= p <= n-1, デフォルトは 0)。

   string
       このモジュールは、いくつかのパターンマッチ手法を用いて指定された文字列とのマッチを行う。
       Linux カーネル 2.6.14 以上が必要である。

       --algo {bm|kmp}
              パターンマッチング手法を選択する (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

       --from offset
              マッチングの検索を開始するオフセットを設定する。 指定されなかった場合のデフォルトは
              0 である。

       --to offset
              検索を終了するオフセットを設定する。 バイト offset-1 (バイト番号は 0 から開始) が検
              索範囲の最終バイトとなる。 指定されなかった場合、デフォルトはパケットサイズである。

       [!] --string pattern
              指定されたパターンにマッチする。

       [!] --hex-string pattern
              指定された 16 進表記のパターンにマッチする。

       例:

              # 文字列パターンは単純なテキスト文字を探すのに使用できる。
              iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'GET  /index.html'
              -j LOG

              16   進数文字列のパターンは表示可能文字以外を検索するのに使用できる。  |0D  0A|  や
              |0D0A| など。
              iptables -p udp --dport 53 -m string --algo  bm  --from  40  --to  57  --hex-string
              '|03|www|09|netfilter|03|org|00|'

   tcp
       これらの拡張は `--protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される:

       [!] --source-port,--sport port[:port]
              送信元ポートまたはポート範囲の指定。       サービス名またはポート番号を指定できる。
              first:last という形式で、 2 つの番号を含む範囲を指定することもできる。 最初のポート
              を省略した場合、 "0" を仮定する。 最後のポートを省略した場合、 "65535" を仮定する。
              最初のポートが最後のポートより大きい場合、 2  つは入れ換えられる。  フラグ  --sport
              は、 このオプションの便利な別名である。

       [!] --destination-port,--dport port[:port]
              宛先ポートまたはポート範囲の指定。 フラグ --dport は、 このオプションの便利な別名で
              ある。

       [!] --tcp-flags mask comp
              TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数 mask  は評価対象と
              するフラグで、 コンマ区切りのリストである。 第 2 引き数 comp は必ず設定しなければな
              らないフラグで、 コンマ区切りのリストである。 指定できるフラグは SYN  ACK  FIN  RST
              URG PSH ALL NONE である。 よって、 コマンド
               iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
              は、 SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッ
              チする。

       [!] --syn
              SYN ビットが設定され ACK, RST, FIN ビットがクリアされている TCP  パケットにのみマッ
              チする。  このようなパケットは TCP コネクションの開始要求に使われる。 例えば、 ある
              インターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP  コネ
              クションは禁止されるが、    外側への    TCP   コネクションには影響しない。   これは
              --tcp-flags SYN,RST,ACK,FIN SYN と等しい。 "--syn" の前に "!" フラグ を置くと、 SYN
              ビットがクリアされ ACK と RST ビットが設定されている TCP パケットにのみマッチする。

       [!] --tcp-option number
              TCP オプションが設定されている場合にマッチする。

   tcpmss
       TCP ヘッダーの TCP MSS (maximum segment size) フィールドにマッチする。 TCP の SYN パケット
       か SYN/ACK パケットに対してのみ利用できる。  MSS  のネゴシエーションはコネクション開始時の
       TCP ハンドシェイク中だけだからである。

       [!] --mss value[:value]
              指定された TCP MSS 値か範囲にマッチする。

   time
       このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプ
       ションが任意オプションで、 複数指定した場合は AND と解釈される。  デフォルトではすべての時
       刻は UTC と解釈される。

       --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

       --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
              指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記
              でなければならない。 指定可能な範囲は 1970-01-01T00:00:00 から  2038-01-19T04:17:07
              である。

              --datestart   と   --datestop   は、指定されなかった場合、それぞれ   1970-01-01  と
              2038-01-19 とみなされます。

       --timestart hh:mm[:ss]

       --timestop hh:mm[:ss]
              指定された時刻  (日付は含まない)  の範囲にある場合にマッチする。   指定可能な範囲は
              00:00:00 から 23:59:59 である。 ("06:03" のように) 先頭に 0 を付けてもよい。 この場
              合も 10 進数として正しく解釈される。

       [!] --monthdays day[,day...]
              指定された月の日付にマッチする。 指定可能な値は 1 から 31 である。 もちろん 31 を指
              定した場合 31 日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。

       [!] --weekdays day[,day...]
              指定した曜日にマッチする。  指定可能な値は Mon, Tue, Wed, Thu, Fri, Sat, Sun および
              1 から 7 の値である。 また、2 文字の曜日指定 (Mo, Tu など) も使用できる。

       --contiguous
              --timestop--timestart  よりも小さい場合、複数の期間ではなく、一つの時間帯として
              マッチするようにする。 例を参照。

       --kerneltz
              パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使
              用する。

       About kernel timezones: Linux keeps the system time in UTC, and always does so.  On  boot,
       system  time  is initialized from a referential time source. Where this time source has no
       timezone information, such as the x86 CMOS RTC, UTC will be assumed. If the time source is
       however  not  in UTC, userspace should provide the correct system time and timezone to the
       kernel once it has the information.

       Local time is a feature on top of the (timezone independent) system time. Each process has
       its own idea of local time, specified via the TZ environment variable. The kernel also has
       its own timezone offset variable. The TZ userspace environment variable specifies how  the
       UTC-based  system  time  is  displayed, e.g. when you run date(1), or what you see on your
       desktop clock.  The TZ string may resolve to different offsets at different  dates,  which
       is  what  enables  the automatic time-jumping in userspace. when DST changes. The kernel's
       timezone offset variable is used when it has to convert between non-UTC sources,  such  as
       FAT filesystems, to UTC (since the latter is what the rest of the system uses).

       The  caveat  with  the  kernel  timezone is that Linux distributions may ignore to set the
       kernel timezone, and instead only set the system time. Even if a  particular  distribution
       does  set  the  timezone at boot, it is usually does not keep the kernel timezone offset -
       which is what changes on DST - up to date.  ntpd will not touch the  kernel  timezone,  so
       running  it  will  not  resolve  the  issue. As such, one may encounter a timezone that is
       always +0000, or one that is wrong half of the time of the year. As such, using --kerneltz
       is highly discouraged.

       例をいくつか。 週末にマッチさせる場合:

              -m time --weekdays Sa,Su

       国の祝日に (一度だけ) マッチさせる場合:

              -m time --datestart 2007-12-24 --datestop 2007-12-27

       終了時刻も実際には含まれるので、新年の最初の  1 秒にマッチしないように終了時刻を以下のよう
       に指定する必要がある:

              -m time --datestart 2007-01-01T17:00 --datestop 2007-01-01T23:59:59

       昼御飯の時間帯:

              -m time --timestart 12:30 --timestop 13:30

       第 4 金曜日:

              -m time --weekdays Fr --monthdays 22,23,24,25,26,27,28

       (これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または  第
       4 金曜日」と指定することはできない。 複数ルールで指定することはできるが。)

       日をまたぐマッチングは期待するようには動かないだろう。例えば、

              -m  time --weekdays Mo --timestart 23:00 --timestop 01:00 は、月曜日の 0 時から午前
              1 時の 1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。  これが希
              望通りでない場合、例えば、月曜日  23 時から 2 時間にマッチさせたい場合は、 上記に追
              加で --contiguous オプションも指定する必要がある。

   tos
       このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビット
       を含まれる) もしくは IPv6 ヘッダーの (8 ビットの) Priority フィールドにマッチする。

       [!] --tos value[/mask]
              指定された  TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前
              に TOS マーク値との論理積 (AND) がとられる)。

       [!] --tos symbol
              IPv4  の  tos  フィールドに対するマッチを指定する際にシンボル名を使うことができる。
              iptables  を -m tos -h で呼び出すと、利用可能な TOS 名の一覧を得ることができる。 シ
              ンボル名を使った場合、 mask として 0x3F が使用される (0x3F  は  ECN  ビット以外の全
              ビットである)。

   ttl (IPv4 の場合)
       このモジュールは IP ヘッダーの time to live フィールドにマッチする。

       [!] --ttl-eq ttl
              指定された TTL 値にマッチする。

       --ttl-gt ttl
              TTL が指定された TTL 値より大きければマッチする。

       --ttl-lt ttl
              TTL が指定された TTL 値より小さければマッチする。

   u32
       U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこ
       を取り出すかの指定は汎用的になっており、TCP   ヘッダーやペイロードから指定したオフセットの
       データを取り出すことができる。

       [!] --u32 tests
              引き数は、以下で説明する小さな言語のプログラムになる。

              tests := location "=" value | tests "&&" location "=" value

              value := range | value "," range

              range := number | number ":" number

       数字 1 個 nn:n と同じものと解釈される。 n:m>=n かつ <=m の範囲の数字と解釈される。

           location := number | location operator number

           operator := "&" | "<<" | ">>" | "@"

       オペレーター  &,  <<,  >>, && は C と同じ意味である。 = は集合の所属を検査するオペレーター
       で、値は集合として記述する。   @    オペレーターは、次のヘッダーへの移動に使うオペレーター
       で、後で詳しく説明する。

       現在のところ、テストの大きさにはいくつか実装から来る制約がある。

           *  u32 引き数あたりの "=" は最大 10 個まで ("&&" は 9 個まで)

           *  value あたりの range は 10 個まで (カンマは 9 個まで)

           *  一つの location あたりの number は最大 10 個まで (operator は 9 個まで)

       location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つ
       のレジスターがある。

              A は char * 型で、最初は IP ヘッダーのアドレスが入っている。

              B と C は 32 ビット整数で、最初は 0 である。

       命令は以下の通り。

              number B = number;

              C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) + *(A+B+3)

              &number C = C & number

              << number C = C << number

              >> number C = C >> number

              @number A = A + C; この後、命令の数字を実行する

       [skb->data,skb->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算
       の結果が C の最終的な値となる。

       ホワイトスペースを入れることはできるが、テストでは必須ではない。  しただし、テストに含まれ
       る文字はシェルでのクォートが必要な場合もよくあるので、  引き数全体をクォートで囲んでおくと
       よいだろう。

       例:

              トータル長が 256 以上の IP パケットにマッチする

              IP ヘッダーではバイト 2-3 にトータル長フィールドがある。

              --u32 "0 & 0xFFFF = 0x100:0xFFFF"

              バイト 0-3 を読み出し、

              0xFFFF (バイト 2-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあ
              るか検査する。

       例: (もっと実用的な、したがってもっと複雑な例)

              ICMP タイプが 0 の ICMP パケットにマッチする

              まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。

              --u32 "6 & 0xFF = 1 && ...

              バイト 6-9 を読み出し、 & を使ってバイト 6-8 を取り除き、 得られた値を  1  と比較す
              る。  次に、フラグメントではないことを検査する (フラグメントの場合、パケットは ICMP
              パケットの一部かもしれないが、 常にそうだとは言えない)。 注意: 一般的に IP ヘッダー
              より先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグ
              メントではない) 完全なパケットであれば、バイト 6 の最後の 6 ビットとバイト  7  の全
              ビットが 0 である。 代わりに、 バイト 6 の最後の 5 ビットを検査するだけで最初のフラ
              グメントを許可することができる。

              ... 4 & 0x3FFF = 0 && ...

              最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで
              @  記法を使う必要がある。 IP ヘッダーの長さ (IHL) は IP ヘッダー自身のバイト 0 の右
              半分に 32 ビットワードで格納されている。

              ... 0 >> 22 & 0x3C @ 0 >> 24 = 0"

              最初の 0 はバイト 0-3 を読み出し、 >>22 はその値を 22  ビット右にシフトすることを意
              味する。  24 ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトする
              と (少し余計なビットが付いているが) その 4 倍の値が得られる。 &3C で右側の余計な  2
              ビットと最初のバイトの先頭  4  ビットを取り除く。  例えば、 IHL が 5 の場合 IP ヘッ
              ダーは 20 バイト (4 x 5) である。 この場合、バイト  0-1  は  (バイナリで)  xxxx0101
              yyzzzzzz  であり、 >>22 により 10 ビットの値 xxxx0101yy が得られ、 &3C で 010100 が
              得られる。 @ は、この数字をパケットの新しいオフセットとして使用し、  この地点から始
              まる  4  バイトを読み出すことを意味する。 この 4 バイトは ICMP ペイロードの最初の 4
              バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24 ビット右にシ
              フトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。

       例:

              TCP ペイロードのバイト 8-12 が 1, 2, 5, 8 のいずれかかを検査する

              まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。

              --u32 "6 & 0xFF = 6 && ...

              次に、フラグメントでないことを検査する (上記と同じ)。

              ... 0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8"

              上で説明した通り 0>>22&3C で IP ヘッダーのバイト数を計算する。 @ でこの値をパケット
              の新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32
              ビットワード) は TCP ヘッダーのバイト 12 の左半分にある。 12>>26&3C で TCP ヘッダー
              のバイト数を計算する (IP ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセット
              に設定する。この時点で  TCP ペイロードの先頭を指している。 最後に、8 でペイロードの
              バイト 8-12 を読み出し、 = を使って取り出した値が 1,  2,  5,  8  のいずれかであるか
              チェックする。

   udp
       これらの拡張は  `--protocol udp' が指定された場合に利用できる。 以下のオプションが提供され
       る。

       [!] --source-port,--sport port[:port]
              送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の --source-port オプションの説
              明を参照すること。

       [!] --destination-port,--dport port[:port]
              宛先ポートまたはポート範囲の指定。  詳細は TCP 拡張の --destination-port オプション
              の説明を参照すること。

   unclean (IPv4 の場合)
       このモジュールにはオプションがないが、    おかしく正常でないように見えるパケットにマッチす
       る。 これは実験的なものとして扱われている。

ターゲットの拡張

       iptables  は拡張ターゲットモジュールを使うことができる:  以下のものが、 標準的なディストリ
       ビューションに含まれている。

   AUDIT
       このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit)  レコードを
       作成することができる。 許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細について
       は auditd(8) を参照。

       --type {accept|drop|reject}
              監査レコード種別を設定する。

       例:

              iptables -N AUDIT_DROP

              iptables -A AUDIT_DROP -j AUDIT --type drop

              iptables -A AUDIT_DROP -j DROP

   CHECKSUM
       このターゲットは、  おかしいアプリケーションや古いアプリケーションに対する選択的な対処を可
       能にする。 mangle テーブルでのみ使用できる。

       --checksum-fill
              Compute  and  fill  in  the  checksum  in  a packet that lacks a checksum.  This is
              particularly useful, if you need to work  around  old  applications  such  as  dhcp
              clients,  that  do  not work well with checksum offloads, but don't want to disable
              checksum offload in your device.

   CLASSIFY
       このモジュールを使うと skb->priority の値を設定できる (その結果、そのパケットを特定の  CBQ
       クラスに分類できる)。

       --set-class major:minor
              メジャークラスとマイナークラスの値を設定する。値は常に   16  進数として解釈される。
              0x が前に付いていない場合であっても 16 進数と解釈される。

   CLUSTERIP (IPv4 の場合)
       このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレス
       と   MAC  アドレスを共有するノードの簡単なクラスターを構成することができる。  コネクション
       は、このクラスターのノード間で静的に分散される。

       --new  新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルー
              ルの中で一番最初に設定しなければならない。

       --hashmode mode
              ハッシュモードを指定する。              sourceip,              sourceip-sourceport,
              sourceip-sourceport-destport のいずれかでなければならない。

       --clustermac mac
              ClusterIP の MAC アドレスを指定する。  リンク層のマルチキャストアドレスでなければな
              らない。

       --total-nodes num
              このクラスターの総ノード数。

       --local-node num
              このクラスターのローカルノード番号。

       --hash-init rnd
              ハッシュの初期化に使用される乱数シード値を指定する。

   CONNMARK
       このモジュールは、  コネクションに関連付けられた  netfilter の mark 値を設定する。 mark は
       32 ビット幅である。

       --set-xmark value[/mask]
              mask で指定されたビットを 0 にし、 value と ctmark の XOR を取る。

       --save-mark [--nfmask nfmask] [--ctmask ctmask]
              指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) に
              コピーする。 新しい ctmark 値は以下のように決定される。

              ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)

              ctmask  はどのビットをクリアするかを規定し、 nfmask は nfmark のどのビットを ctmark
              と XOR するかを規定する。 ctmasknfmask のデフォルト値は 0xFFFFFFFF である。

       --restore-mark [--nfmask nfmask] [--ctmask ctmask]
              指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) に
              コピーする。 新しい nfmark 値は以下のように決定される。

              nfmark = (nfmark & ~nfmask) ^ (ctmark & ctmask);

              nfmask  はどのビットをクリアするかを規定し、 ctmask は ctmark のどのビットを nfmark
              と XOR するかを規定する。 ctmasknfmask のデフォルト値は 0xFFFFFFFF である。

              --restore-markmangle テーブルでのみ有効である。

       以下の簡易表現が --set-xmark の代わりに利用できる。

       --and-mark bits
              ctmark と bits のビット論理積  (AND)  を取る  (--set-xmark  0/invbits  の簡易表現、
              invbitsbits のビット単位の否定である)。

       --or-mark bits
              ctmark と bits のビット論理和 (OR) を取る (--set-xmark bits/bits の簡易表現)。

       --xor-mark bits
              ctmark と bits のビット XOR を取る (--set-xmark bits/0 の簡易表現)。

       --set-mark value[/mask]
              コネクションマークを設定する。  mask が指定された場合、 mask で指定されたビットだけ
              が変更される。

       --save-mark [--mask mask]
              nfmark を ctmark へコピーする。  mask  が指定された場合、そのビットだけがコピーされ
              る。

       --restore-mark [--mask mask]
              ctmark  を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピー
              される。 mangle テーブルのみで有効である。

   CONNSECMARK
       This module copies security markings from packets to connections (if unlabeled), and  from
       connections  back to packets (also only if unlabeled).  Typically used in conjunction with
       SECMARK, it is valid in  the  security  table  (for  backwards  compatibility  with  older
       kernels, it is also valid in the mangle table).

       --save If  the  packet has a security marking, copy it to the connection if the connection
              is not marked.

       --restore
              If the packet does not have a security marking, and the connection does,  copy  the
              security marking from the connection to the packet.

   CT
       The  CT  target  allows  to  set parameters for a packet or its associated connection. The
       target attaches a "template" connection tracking entry to the packet, which is  then  used
       by  the conntrack core when initializing a new ct entry. This target is thus only valid in
       the "raw" table.

       --notrack
              このパケットに対するコネクション追跡を無効にする。

       --helper name
              name で指定されるヘルパーをこのコネクションで使用する。  この方法は、あらかじめ設定
              したポートに対して conntrack ヘルパーモジュールをロードするよりも柔軟性がある。

       --ctevents event[,...]
              Only  generate  the  specified conntrack events for this connection. Possible event
              types are: new, related, destroy, reply, assured,  protoinfo,  helper,  mark  (this
              refers to the ctmark, not nfmark), natseqinfo, secmark (ctsecmark).

       --expevents event[,...]
              Only generate the specified expectation events for this connection.  Possible event
              types are: new.

       --zone id
              Assign this packet to zone id and only have lookups done in that zone.  By default,
              packets have zone 0.

       --timeout name
              Use the timeout policy identified by name for the connection. This is provides more
              flexible  timeout  policy  definition  than  global  timeout  values  available  at
              /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.

   DNAT
       このターゲットは nat テーブルの PREROUTING, OUTPUT チェイン、 これらのチェインから呼び出さ
       れる ユーザー定義チェインのみで有効である。 このターゲットはパケットの宛先アドレスを修正す
       る  (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 ルール
       によるチェックを止めさせる。 このターゲットは以下のオプションを取る。

       --to-destination [ipaddr[-ipaddr]][:port[-port]]
              1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。  また、ルール
              でプロトコルとして  tcp, udp, dccp, sctp のいずれが指定されている場合は、ポートの範
              囲を指定することもできる。 ポートの範囲が指定されていない場合、  宛先ポートは変更さ
              れない。  IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10
              以前のカーネルでは、 複数の --to-destination オプションを指定することができる。  こ
              れらのカーネルでは、 アドレスの範囲指定や --to-destination オプションの複数回指定に
              より 2 つ以上の宛先アドレスを指定した場合、  それらのアドレスを使った単純なラウンド
              ロビンによる負荷分散が行われる。  それ以降のカーネル (>= 2.6.11-rc1) には複数の範囲
              を NAT する機能は存在しない。

       --random
              --random  オプションを使用すると、   ポートマッピングがランダム化される   (カーネル
              2.6.22 以降)。

       --persistent
              クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。  これは
              SAME ターゲットよりも優先される。 persistent マッピングのサポートは 2.6.29-rc2 以降
              で利用可能である。

       IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。

   DNPT (IPv6 のみ)
       (RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 宛先ネットワークプレフィックス変換を
       提供する。

       このターゲットは nat テーブルではなく mangle  テーブルで使わなければならない。  以下のオプ
       ションを取る。

       --src-pfx [prefix/length]
              変換を行う送信元プレフィックスとその長さを設定する。

       --dst-pfx [prefix/length]
              変換を行う宛先プレフィックスとその長さを設定する。

       変換を取り消すには SNPT ターゲットを使わなければならない。 例:

              ip6tables  -t  mangle  -I  POSTROUTING  -s fd00::/64  -o vboxnet0 -j SNPT --src-pfx
              fd00::/64 --dst-pfx 2001:e20:2000:40f::/64

              ip6tables -t mangle -I  PREROUTING  -i  wlan0  -d  2001:e20:2000:40f::/64  -j  DNPT
              --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64

       IPv6 neighbor proxy を有効にする必要があるかもしれない。

              sysctl -w net.ipv6.conf.all.proxy_ndp=1

       また、変換されたフローに対するコネクション追跡を無効にするには  NOTRACK ターゲットを使用す
       る必要がある。

   DSCP
       このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP  ビットの値の書き換えを可能にす
       る。 これはパケットを操作するので、 mangle テーブルでのみ使用できる。

       --set-dscp value
              DSCP フィールドの数値を設定する (10 進または 16 進)。

       --set-dscp-class class
              DSCP フィールドの DiffServ クラスを設定する。

   ECN (IPv4 の場合)
       このターゲットは  ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用で
       きる。

       --ecn-tcp-remove
              TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 -p tcp
              オプションとの組合わせでのみ使用できる。

   HL (IPv6 のみ)
       このターゲットを使うと  IPv6  ヘッダーの  Hop Limit フィールドを変更することができる。 Hop
       Limit フィールドは IPv4 の TTL 値と同じようなものである。 Hop Limit フィールドを設定したり
       増やすのは、  危険性を非常にはらんでいる。  したがって、可能な限り避けるべきである。  この
       ターゲットは mangle テーブルでのみ有効である。

       決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこ
       と!

       --hl-set value
              Hop Limit を `value' に設定する。

       --hl-dec value
              Hop Limit を `value' 回減算する。

       --hl-inc value
              Hop Limit を `value' 回加算する。

   HMARK
       Like MARK, i.e. set the fwmark, but the mark is calculated from hashing packet selector at
       choice. You have also to specify the mark range and, optionally, the offset to start from.
       ICMP error messages are inspected and used to calculate the hashing.

       Existing options are:

       --hmark-tuple tuple
              Possible  tuple  members  are: src meaning source address (IPv4, IPv6 address), dst
              meaning destination address (IPv4, IPv6 address), sport meaning source  port  (TCP,
              UDP, UDPlite, SCTP, DCCP), dport meaning destination port (TCP, UDP, UDPlite, SCTP,
              DCCP), spi meaning Security Parameter Index (AH, ESP), and ct meaning the usage  of
              the conntrack tuple instead of the packet selectors.

       --hmark-mod value (must be > 0)
              Modulus for hash calculation (to limit the range of possible marks)

       --hmark-offset value
              Offset to start marks from.

       For advanced usage, instead of using --hmark-tuple, you can specify custom
              prefixes and masks:

       --hmark-src-prefix cidr
              The source address mask in CIDR notation.

       --hmark-dst-prefix cidr
              The destination address mask in CIDR notation.

       --hmark-sport-mask value
              A 16 bit source port mask in hexadecimal.

       --hmark-dport-mask value
              A 16 bit destination port mask in hexadecimal.

       --hmark-spi-mask value
              A 32 bit field with spi mask.

       --hmark-proto-mask value
              An 8 bit field with layer 4 protocol number.

       --hmark-rnd value
              A 32 bit random custom value to feed hash calculation.

       :

       iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW
        -j  HMARK  --hmark-tuple ct,src,dst,proto --hmark-offset 10000 --hmark-mod 10 --hmark-rnd
       0xfeedcafe

       iptables -t mangle -A PREROUTING -j HMARK --hmark-offset 10000 --hmark-tuple src,dst,proto
       --hmark-mod 10 --hmark-rnd 0xdeafbeef

   IDLETIMER
       This target can be used to identify when interfaces have been idle for a certain period of
       time.  Timers are identified by labels and are created when a  rule  is  set  with  a  new
       label.   The  rules also take a timeout value (in seconds) as an option.  If more than one
       rule uses the same timer label, the timer will be restarted whenever any of the rules  get
       a  hit.   One entry for each timer is created in sysfs.  This attribute contains the timer
       remaining for the timer to expire.  The attributes  are  located  under  the  xt_idletimer
       class:

       /sys/class/xt_idletimer/timers/<label>

       When  the  timer  expires,  the target module sends a sysfs notification to the userspace,
       which can then decide what to do (eg. disconnect to save power).

       --timeout amount
              This is the time in seconds that will trigger the notification.

       --label string
              This is a unique identifier for the timer.  The maximum length for the label string
              is 27 characters.

   LED
       This creates an LED-trigger that can then be attached to system indicator lights, to blink
       or illuminate them when certain packets pass through the system. One example might  be  to
       light  up  an  LED  for  a  few  minutes every time an SSH connection is made to the local
       machine. The following options control the trigger behavior:

       --led-trigger-id name
              This is the name given to the LED trigger. The actual name of the trigger  will  be
              prefixed with "netfilter-".

       --led-delay ms
              This indicates how long (in milliseconds) the LED should be left illuminated when a
              packet arrives before being switched off again. The default is 0 (blink as fast  as
              possible.)  The special value inf can be given to leave the LED on permanently once
              activated. (In this case  the  trigger  will  need  to  be  manually  detached  and
              reattached to the LED device to switch it off again.)

       --led-always-blink
              Always  make  the LED blink on packet arrival, even if the LED is already on.  This
              allows notification of new packets even with long  delay  values  (which  otherwise
              would result in a silent prolonging of the delay time.)

       例:

       Create an LED trigger for incoming SSH traffic:
              iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh

       Then attach the new trigger to an LED:
              echo netfilter-ssh >/sys/class/leds/ledname/trigger

   LOG
       マッチしたパケットをカーネルログに記録する。  このオプションがルールに対して設定されると、
       Linux カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6  ヘッダーフィール
       ドなど) を カーネルログに表示する (カーネルログは dmesg(1) や syslog で参照できる)。

       これは  "非終了ターゲット"  である。  すなわち、  ルールの探索は次のルールへと継続される。
       よって、 拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2  つのルール
       を使用し、  最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT) ターゲット
       を指定する。

       --log-level level
              ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先
              度が高い順に)  emerg, alert, crit, error, warning, notice, info, debug である。

       --log-prefix prefix
              指定したプレフィックスをログメッセージの前に付ける。 プレフィックスは 29 文字までの
              長さで、 ログの中でメッセージを区別するのに役立つ。

       --log-tcp-sequence
              TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、  セキュリティ上
              の危険がある。

       --log-tcp-options
              TCP パケットヘッダーのオプションをログに記録する。

       --log-ip-options
              IP/IPv6 パケットヘッダーのオプションをログに記録する。

       --log-uid
              パケットを生成したプロセスのユーザー ID をログに記録する。

   MARK
       このターゲットを使うと、  そのパケットに関連付けられる Netfilter マーク値を設定する。 例え
       ば、 fwmark に基づくルーティング (iproute2 が必要) と組み合わせて使うことができる。 そうす
       る場合には、  ルーティング時に考慮されるようにするには、 mangle テーブルの PREROUTING チェ
       インでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。

       --set-xmark value[/mask]
              mask で指定されたビットを 0 にし、 value と packet mark ("nfmark") の XOR  を取る。
              mask が省略された場合は 0xFFFFFFFF とみなされる。

       --set-mark value[/mask]
              mask  で指定されたビットを 0 にし、 value と packet mark の OR を取る。 mask が省略
              された場合は 0xFFFFFFFF とみなされる。

       以下の簡易表現が利用できる。

       --and-mark bits
              nfmark と bits のビット論理積  (AND)  を取る  (--set-xmark  0/invbits  の簡易表現、
              invbitsbits のビット単位の否定である)。

       --or-mark bits
              nfmark と bits のビット論理和 (OR) を取る (--set-xmark bits/bits の簡易表現)。

       --xor-mark bits
              nfmark と bits のビット XOR を取る (--set-xmark bits/0 の簡易表現)。

   MASQUERADE
       このターゲットは nat テーブルの POSTROUTING チェインのみで有効である。 動的割り当て IP (ダ
       イヤルアップ) コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT  ター
       ゲットを使うべきである。  マスカレーディングは、 パケットが送信されるインターフェースの IP
       アドレスへのマッピングを指定するのと同じであるが、  インターフェースが停止した場合にコネク
       ションを忘れるという効果がある。  次のダイヤルアップでは同じインターフェースアドレスになる
       可能性が低い (そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。

       --to-ports port[-port]
              このオプションは、 使用する送信元ポートの範囲を指定し、  デフォルトの  SNAT  送信元
              ポートの選択方法 (上記) よりも優先される。 ルールがプロトコルとして tcp, udp, dccp,
              sctp を指定している場合にのみ有効である。

       --random
              送信元ポートのマッピングをランダム化する。 --random オプションを使用すると、 ポート
              マッピングがランダム化される (カーネル 2.6.21 以降)。

       IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。

   MIRROR (IPv4 の場合)
       実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入
       れ換え、 パケットを再送信するものである。 これは INPUT, FORWARD,  PREROUTING  チェインと、
       これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 ループ等の問題を回
       避するため、 外部に送られるパケットは いかなるパケットフィルタリングチェイン・コネクション
       追跡・NAT からも 監視されないNETMAP
       このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッ
       ピングできる。 このターゲットは nat テーブルでルールでのみ使用できる。

       --to address[/mask]
              マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。
              mask  で  '1' になっているビットは新しいアドレスが使われ、 mask で '0' になっている
              ビットは元のアドレスが使われる。

       IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。

   NFLOG
       このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルー
       ルに設定されると、  Linux カーネルはそのログに記録するためにそのパケットをロードされたロギ
       ングバックエンドに渡す。 このターゲットは通常は nfnetlink_log をロギングバックエンドとして
       使う組み合わせで使用される。 nfnetlink_log はそのパケットを netlink ソケット経由で指定され
       たマルチキャストグループにマルチキャストする。 1  つ以上のユーザー空間プロセスがマルチキャ
       ストグループを購読しパケットを受信することができる。 LOG と同様に、 このターゲットは非終了
       ターゲットであり、 ルールの探索は次のルールへと継続される。

       --nflog-group nlgroup
              パケットを送信する netlink グループ (0 - 2^16-1) を指定する (nfnetlink_log の場合の
              み利用できる)。 デフォルトの値は 0 である。

       --nflog-prefix prefix
              ログメッセージの前に付けるプレフィックス文字列。  最大 64 文字までの指定できる。 ロ
              グの中でメッセージを区別するのに役に立つ。

       --nflog-range size
              ユーザー空間にコピーするバイト数       (nfnetlink_log       の場合のみ利用できる)。
              nfnetlink_log のインスタンスは自身でコピーする範囲を指定できるが、 このオプションは
              それを上書きする。

       --nflog-threshold size
              ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数
              (nfnetlink_log の場合のみ利用できる)。 大きめの値を指定するほどパケット単位のオーバ
              ヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。  デフォ
              ルト値は 1 である。

   NFQUEUE
       このターゲットは、 nfnetlink_queue ハンドラーを使ってそのパケットをユーザー空間に渡す。 パ
       ケットは 16 ビットのキュー番号で指定されたキューに入れられる。  ユーザー空間では好きなよう
       にパケットを検査し変更できる。  ユーザー空間側では、必ずそのパケットを破棄するかカーネルに
       戻すかのどちらかをしなければならない。    詳細は     libnetfilter_queue     を参照のこと。
       nfnetlink_queue  は  Linux  2.6.14  で追加された。 queue-balance オプションは Linux 2.6.31
       で、 queue-bypass は Linux 2.6.39 で追加された。

       --queue-num value
              使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルト
              は 0 である。

       --queue-balance value:value
              使用するキューの範囲を指定する。  パケットは指定された範囲のキューに分散される。 こ
              れはマルチコアシステムで有用である。     ユーザー空間プログラムの複数インスタンスを
              キュー  x,  x+1,  .. x+n で開始し、 "--queue-balance x:x+n" を使用する。 同じコネク
              ションに所属するパケットは同じ nfqueue に入れられる。

       --queue-bypass
              デフォルトでは、  どのユーザー空間プログラムも  NFQUEUE  をリッスンしていない場合、
              キューされるはずのすべてのパケットが破棄される。  このオプションを使うと、  NFQUEUE
              ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。

       --queue-cpu-fanout
              Linux カーネル 3.10 以降で利用可能。 --queue-balance とともに使用されると、このオプ
              ションはパケットをキューにマッピングする際のインデックスとして  CPU ID を使用する。
              これは、 CPU ごとにキューがある場合に性能を向上させようというものである。  このオプ
              ションを使うには --queue-balance を指定する必要がある。

   NOTRACK
       このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効にな
       る。 これは -j CT --notrack と等価である。 CT と同様、 NOTRACK は raw テーブルでのみ使用で
       きる。

   RATEEST
       The RATEEST target collects statistics, performs rate estimation calculation and saves the
       results for later evaluation using the rateest match.

       --rateest-name name
              Count matched packets into the pool referred to by name, which is freely choosable.

       --rateest-interval amount{s|ms|us}
              Rate measurement interval, in seconds, milliseconds or microseconds.

       --rateest-ewmalog value
              Rate measurement averaging time constant.

   REDIRECT
       このターゲットは、 nat テーブルの PREROUTING チェインと OUTPUT チェイン、 およびこれらチェ
       インから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP をパ
       ケットを受信したインタフェースの最初のアドレスに変更することで、  パケットをそのマシン自身
       にリダイレクトする   (ローカルで生成されたパケットはローカルホストのアドレス、  IPv4  では
       127.0.0.1、 IPv6 では ::1 にマップされる)。

       --to-ports port[-port]
              このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。   このオプ
              ションが指定されない場合、 宛先ポートは変更されない。 ルールがプロトコルとして tcp,
              udp, dccp, sctp を指定している場合にのみ有効である。

       --random
              --random  オプションを使用すると、   ポートマッピングがランダム化される   (カーネル
              2.6.22 以降)。

       IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。

   REJECT (IPv6 のみ)
       マッチしたパケットの応答としてエラーパケットを送信するために使われる。  エラーパケットを送
       らなければ、 DROP と同じであり、 TARGET を終了し、 ルールの探索を終了する。 このターゲット
       は、 INPUT, FORWARD, OUTPUT チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
       だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を 制御する。

       --reject-with type
              指定できるタイプは icmp6-no-route, no-route, icmp6-adm-prohibited,  adm-prohibited,
              icmp6-addr-unreachable,  addr-unreach, icmp6-port-unreachable である。 指定したタイ
              プの適切な IPv6 エラーメッセージが返される (icmp6-port-unreachable がデフォルトであ
              る)。  さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション tcp-reset
              を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主と
              して ident (113/tcp) による探査を阻止するのに役立つ。 ident による探査は、 壊れてい
              る   (メールを受け取らない)   メールホストに   メールが送られる場合に頻繁に起こる。
              tcp-reset はバージョン 2.6.14 以降のカーネルでのみ使用できる。

   REJECT (IPv4 の場合)
       マッチしたパケットの応答としてエラーパケットを送信するために使われる。  エラーパケットを送
       らなければ、 DROP と同じであり、 TARGET を終了し、 ルールの探索を終了する。 このターゲット
       は、 INPUT, FORWARD, OUTPUT チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
       だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を 制御する。

       --reject-with type
              指定できるタイプは           icmp-net-unreachable,           icmp-host-unreachable,
              icmp-port-unreachable,         icmp-proto-unreachable,         icmp-net-prohibited,
              icmp-host-prohibited, icmp-admin-prohibited (*) である。指定したタイプの適切な ICMP
              エラーメッセージを返す  (icmp-port-unreachable がデフォルトである)。 TCP プロトコル
              にのみマッチするルールに対して、 オプション tcp-reset を使うことができる。 このオプ
              ションを使うと、 TCP RST パケットが送り返される。 主として ident (113/tcp) による探
              査を阻止するのに役立つ。  ident  による探査は、  壊れている  (メールを受け取らない)
              メールホストに メールが送られる場合に頻繁に起こる。

       (*)  icmp-admin-prohibited  をサポートしないカーネルで、  icmp-admin-prohibited を使用する
       と、 REJECT ではなく単なる DROP になる。

   SAME (IPv4 の場合)
       Similar  to  SNAT/DNAT  depending  on  chain:  it  takes  a  range  of  addresses   (`--to
       1.2.3.4-1.2.3.7')  and  gives  a  client  the  same  source-/destination-address  for each
       connection.

       N.B.: The DNAT target's --persistent option replaced the SAME target.

       --to ipaddr[-ipaddr]
              Addresses to map source to. May be specified more than once for multiple ranges.

       --nodst
              Don't use the destination-ip in the calculations when selecting the new source-ip

       --random
              Port mapping will be forcibly randomized to avoid attacks based on port  prediction
              (kernel >= 2.6.21).

   SECMARK
       This is used to set the security mark value associated with the packet for use by security
       subsystems  such  as  SELinux.   It  is  valid  in  the  security  table  (for   backwards
       compatibility  with  older  kernels, it is also valid in the mangle table). The mark is 32
       bits wide.

       --selctx security_context

   SET
       このモジュールは ipsec(8) で定義できる IP 集合のエントリの追加、削除、その両方を行う。

       --add-set setname flag[,flag...]
              集合に指定されたアドレス/ポート (複数可) を追加する

       --del-set setname flag[,flag...]
              集合から指定されたアドレス/ポート (複数可) を削除する

              flagsrcdst の指定であり、 指定できるのは 6 個までである。

       --timeout value
              エントリを追加する際に、 集合定義のデフォルト値ではなく指定したタイムアウト値を使用
              する

       --exist
              エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か
              集合定義のデフォルト値にリセットする

       -j SET を使用するには ipset  のカーネルサポートが必要である。  標準のカーネルでは、  Linux
       2.6.39 以降で提供されている。

   SNAT
       このターゲットは nat テーブルの POSTROUTING, INPUT チェイン、 これらのチェインから呼び出さ
       れる ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正
       する  (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 ルー
       ルによるチェックを止めさせる。 このターゲットには以下のオプションがある:

       --to-source [ipaddr[-ipaddr]][:port[-port]]
              1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。  ルールでプ
              ロトコルとして tcp, udp, dccp, sctp が指定されている場合、 ポートの範囲を指定するこ
              ともできる。 ポートの範囲が指定されていない場合、 512  未満の送信元ポートは、  他の
              512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024 未満のポート
              にマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。  可
              能であれば、    ポートの変換は起こらない。   2.6.10   以前のカーネルでは、   複数の
              --to-source オプションを指定することができる。 これらのカーネルでは、  アドレスの範
              囲指定や  --to-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定し
              た場合、 それらのアドレスを使った単純なラウンド・ロビンが行われる。  それ以降のカー
              ネル (>= 2.6.11-rc1) には複数の範囲を NAT する機能は存在しない。

       --random
              --random   オプションが使用されると、ポートマッピングはランダム化される   (カーネル
              2.6.21 以降)。

       --persistent
              クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。  これは
              SAME ターゲットよりも優先される。 persistent マッピングのサポートは 2.6.29-rc2 以降
              で利用可能である。

       2.6.36-rc1 より前のカーネルでは INPUT チェインで SNAT を使用できない。

       IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。

   SNPT (IPv6 のみ)
       (RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 送信元ネットワークプレフィックス変換
       を提供する。

       このターゲットは  nat  テーブルではなく mangle テーブルで使わなければならない。 以下のオプ
       ションを取る。

       --src-pfx [prefix/length]
              変換を行う送信元プレフィックスとその長さを設定する。

       --dst-pfx [prefix/length]
              変換を行う宛先プレフィックスとその長さを設定する。

       変換を取り消すには DNPT ターゲットを使わなければならない。 例:

              ip6tables -t mangle -I POSTROUTING -s fd00::/64   -o  vboxnet0  -j  SNPT  --src-pfx
              fd00::/64 --dst-pfx 2001:e20:2000:40f::/64

              ip6tables  -t  mangle  -I  PREROUTING  -i  wlan0  -d 2001:e20:2000:40f::/64 -j DNPT
              --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64

       IPv6 neighbor proxy を有効にする必要があるかもしれない。

              sysctl -w net.ipv6.conf.all.proxy_ndp=1

       また、変換されたフローに対するコネクション追跡を無効にするには NOTRACK  ターゲットを使用す
       る必要がある。

   TCPMSS
       このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最
       大サイズを制御できる (通常は、 送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では
       60 を引いた値に制限する)。 もちろん -p tcp との組み合わせでしか使えない。

       このターゲットは、 "ICMP Fragmentation Needed" や "ICMPv6 Packet Too Big" パケットをブロッ
       クしている犯罪的に頭のいかれた ISP やサーバーを乗り越えるために使用される。 Linux ファイア
       ウォール/ルーターでは何も問題がないのに、   そこにぶら下がるマシンでは以下のように大きなパ
       ケットをやりとりできないというのが、 この問題の兆候である。

       1.  ウェブ・ブラウザで接続しようとすると、 何のデータも受け取らずにハングする

       2.  短いメールは問題ないが、 長いメールがハングする

       3.  ssh は問題ないが、 scp は最初のハンドシェーク後にハングする

       回避方法: このオプションを有効にし、  以下のようなルールを  ファイアウォールの設定に追加す
       る。

               iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
                           -j TCPMSS --clamp-mss-to-pmtu

       --set-mss value
              Explicitly  sets MSS option to specified value. If the MSS of the packet is already
              lower than value, it will not be increased (from Linux  2.6.25  onwards)  to  avoid
              more problems with hosts relying on a proper MSS.

       --clamp-mss-to-pmtu
              Automatically  clamp MSS value to (path_MTU - 40 for IPv4; -60 for IPv6).  This may
              not function as desired where asymmetric routes with differing path MTU exist — the
              kernel  uses  the  path  MTU  which it would use to send packets from itself to the
              source and destination IP addresses. Prior to Linux 2.6.25, only the  path  MTU  to
              the  destination  IP address was considered by this option; subsequent kernels also
              consider the path MTU to the source IP address.

       これらのオプションはどちらか 1 つしか指定できない。

   TCPOPTSTRIP
       このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO-OP
       で置き換える)。 このターゲットを使うには -p tcp パラメーターを使う必要があるだろう。

       --strip-options option[,option...]
              指定されたオプション  (複数可) を削除する。 オプションは TCP オプション番号かシンボ
              ル名で指定する。 iptables を -j TCPOPTSTRIP -h で呼び出すと、指定できるオプションの
              シンボル名を取得できる。

   TEE
       TEE ターゲットは、 パケットのクローンを作成し、 クローンしたパケットをローカルネットワーク
       セグメントにある別のマシンにリダイレクトする。  言い換えると、ネクストホップがターゲットで
       なければならないということだ。  つまり、必要に応じてネクストホップがさらにパケットを転送す
       るように設定する必要があるということだ。

       --gateway ipaddr
              クローンしたパケットを指定した IP  アドレスで届くホストに送信する。  (IPv4  の場合)
              0.0.0.0、 (IPv6 の場合) :: は無効である。

       eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。

       -t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1

   TOS
       このモジュールは  IPv4  ヘッダーの  Type  of Service フィールド (上位ビットも含む) や IPv6
       ヘッダーの Priority フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注
       意すること。 TOS ターゲットは mangle テーブルでのみ有効である。

       --set-tos value[/mask]
              mask  で指定されたビットを  0  にし  (下の「注意」を参照)、  value  と TOS/Priority
              フィールド の XOR を取る。 mask が省略された場合は 0xFF とみなされる。

       --set-tos symbol
              IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち
              0xFF  が  mask  として使用される (下の「注意」を参照)。 使用できる TOS 名のリストは
              iptables を -j TOS -h で呼び出すと取得できる。

       以下の簡易表現が利用できる。

       --and-tos bits
              TOS 値と bits のビット論理積 (AND) を取る (--set-tos 0/invbits の簡易表現、 invbitsbits のビット単位の否定である。 下の「注意」を参照)

       --or-tos bits
              TOS  値と bits のビット論理和 (OR) を取る (--set-tos bits/bits の簡易表現。下の「注
              意」を参照)

       --xor-tos bits
              TOS 値と bits の XOR を取る (--set-tos bits/0 の簡易表現。下の「注意」を参照)

       注意: 2.6.38  以前の  Linux  カーネル  (ただし、長期間サポートのリリース  2.6.32  (>=.42),
       2.6.33 (>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling がドキュメントに書かれている
       通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask  はビッ
       トが 1 の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を
       適用する前に反転する必要がある。   しかしながら、   上記のカーネルではこの反転が抜けており
       --set-tos と関連する簡易表現が正しく動作しない。

   TPROXY
       このターゲットは、 mangle テーブルで、 PREROUTING チェインと、 PREROUTING チェインから呼び
       出される ユーザー定義チェインでのみ有効である。 このターゲットは、  そのパケットをパケット
       ヘッダーを変更せずにそのままローカルソケットにリダイレクトする。  また、 mark 値を変更する
       こともでき、 この mark  値は後で高度なルーティングルールで使用することができる。  このター
       ゲットにはオプションが 3 つある:

       --on-port port
              このオプションは使用する宛先ポートを指定する。  このオプションは必須で、  0  は宛先
              ポートが元々の宛先ポートと同じであることを意味する。 ルールが -p tcp または -p  udp
              を指定している場合にのみ有効である。

       --on-ip address
              このオプションは使用する宛先アドレスを指定する。  デフォルトでは、 パケットが到着し
              たインタフェースの IP アドレスが使用される。 ルールが -p tcp または -p udp を指定し
              ている場合にのみ有効である。

       --tproxy-mark value[/mask]
              Marks  packets  with the given value/mask. The fwmark value set here can be used by
              advanced routing. (Required for  transparent  proxying  to  work:  otherwise  these
              packets will get forwarded, which is probably not what you want.)

   TRACE
       This  target  marks packets so that the kernel will log every rule which match the packets
       as those traverse the tables, chains, rules.

       A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be  loaded  for  this  to  be
       visible.     The    packets    are    logged    with    the    string    prefix:   "TRACE:
       tablename:chainname:type:rulenum " where type can be "rule" for plain rule,  "return"  for
       implicit  rule at the end of a user defined chain and "policy" for the policy of the built
       in chains.
       It can only be used in the raw table.

   TTL (IPv4 の場合)
       このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。  TTL  フィールドによ
       り、 TTL がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。

       TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り
       避けるべきである。 このターゲットは mangle テーブルでのみ有効である。

       決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこ
       と!

       --ttl-set value
              TTL 値を `value' に設定する。

       --ttl-dec value
              TTL 値を `value' 回減算する。

       --ttl-inc value
              TTL 値を `value' 回加算する。

   ULOG (IPv4 の場合)
       このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッ
       チしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定さ
       れると、 Linux カーネルは、 そのパケットを netlink ソケットを用いてマルチキャストする。 そ
       して、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
       パケットを受信する。  LOG  と同様、  これは "非終了ターゲット" であり、 ルールの探索は次の
       ルールへと継続される。

       --ulog-nlgroup nlgroup
              パケットを送信する netlink グループ (1-32) を指定する。 デフォルトの値は 1 である。

       --ulog-prefix prefix
              指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログ
              の中でメッセージを区別するのに便利である。

       --ulog-cprange size
              ユーザー空間にコピーするパケットのバイト数。  値が  0 の場合、 サイズに関係なく全パ
              ケットをコピーする。 デフォルトは 0 である。

       --ulog-qthreshold size
              カーネル内部のキューに入れられるパケットの数。 例えば、  この値を  10  にした場合、
              カーネル内部で  10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとし
              てユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。