- --dest` `<string>
-
限制数据包的目的地址。这可以指单个IP地址、一个IP集('+ipsetname')或一个IP别名定义。您还可以指定一个地址范围,如 '20.34.101.207-201.3.9.99',或一个IP地址和网络的列表(条目之间用逗号分隔)。请不要在这样的列表中混合IPv4和IPv6地址。
- --dport` `<string>
-
限制TCP/UDP目的端口。你可以使用服务名称或简单数字(0-65535),如'/etc/services’中定义。端口范围可以用'\d+:\d+'指定,例如'80:85',你也可以使用逗号分隔列表来匹配多个端口或范围。
- --icmp-type` `<string>
-
指定ICMP类型。只有当协议等于’icmp’或者’icmpv6'/'ipv6-icmp’时有效。
- --iface` `<string>
-
网络接口名称。您必须对虚拟机和容器使用网络配置键名('net\d+')。与主机相关的规则可以使用任意字符串。
- --log` `<alert | crit | debug | emerg | err | info | nolog | notice | warning>
-
防火墙规则的日志级别。
- --proto` `<string>
-
IP协议。您可以使用协议名称('tcp'/'udp')或在'/etc/protocols’中定义的简单数字。
- --source` `<string>
-
限制数据包源地址。这可以指一个单独的IP地址、一个IP集('+ipsetname')或一个IP别名定义。您还可以指定一个地址范围,如 '20.34.101.207-201.3.9.99',或者一个IP地址和网络的列表(条目之间用逗号隔开)。请不要在这样的列表中混用IPv4和IPv6地址。
- --sport` `<string>
-
限制TCP/UDP源端口。您可以使用服务名称或简单的数字(0-65535),如'/etc/services’中所定义。端口范围可以用'\d+:\d+'指定,例如'80:85',并且您可以使用逗号分隔的列表来匹配多个端口或范围。