PARAMÈTRES
Les paramètres suivants composent une spécification de règle (quand ils sont utilisés dans les commandes add , delete , insert , replace et append ).
-p, --protocol [!] protocole
Protocole de la règle ou du paquet à vérifier. Le protocole spécifié est l’un des suivants : tcp , udp , icmp ou all , ou bien sous forme d’une valeur numérique, représentant un de ces protocoles ou un protocole différent. Un nom de protocole issu du fichier /etc/protocols est aussi autorisé. Un «!» avant le protocole inverse le test. La valeur zéro est équivalente à all . Le protocole all correspond à tous les protocoles ; c’est aussi la valeur par défaut lorsque cette option est omise.
-s, --source [!] adresse [/ masque ]
Spécification de la source. L’ adresse peut être un nom de réseau, un nom d’hôte (attention : spécifier un nom à résoudre avec une requête distante de type DNS est vraiment une mauvaise idée), une adresse de réseau IP (avec /masque) ou une simple adresse IP. Le masque peut être un masque de réseau ou un nombre entier spécifiant le nombre de bits égaux à 1 dans la partie gauche du masque de réseau (bits de poids fort). Par conséquent, un masque de 24 est équivalent à 255.255.255.0 . Un «!» avant la spécification d’adresse inverse la sélection d’adresse. L’option –src est un synonyme de --source.
-d, --destination [!] adresse [/ masque ]
Spécification de la destination. Voir la description du paramètre -s (source) pour une description détaillée de la syntaxe. L’option –dst est un synonyme de --destination.
-j, --jump cible
Ceci détermine la cible de la règle ; c’est-à-dire ce qu’il faut faire si le paquet correspond à la règle. La cible peut être une chaîne définie par l’utilisateur (autre que celle dans laquelle se situe cette règle), une des cibles prédéfinies qui décide immédiatement du sort du paquet, ou une extension (voir EXTENSIONS ci-dessous). Si cette option est omise dans une règle, la correspondance d’un paquet avec la règle n’aura aucun effet sur le sort du paquet, mais les compteurs seront incrémentés.
-i, --in-interface [!] [ nom ]
Nom de l’interface qui reçoit les paquets (seulement pour les paquets passant par les chaînes INPUT , FORWARD et PREROUTING ). Lorsqu’un «!» est utilisé avant le nom d’interface, la sélection est inversée. Si le nom de l’interface se termine par un «+», il désigne toutes les interfaces commençant par ce nom. Si cette option est omise, toutes les interfaces réseau sont désignées.
-o, --out-interface [!] [ nom ]
Nom de l’interface qui envoie les paquets (seulement pour les paquets passant par les chaînes FORWARD , OUTPUT et POSTROUTING ). Lorsqu’un «!» est utilisé avant le nom d’interface, la sélection est inversée. Si le nom de l’interface se termine par un «+», il désigne toutes les interfaces commençant par ce nom. Si cette option est omise, toutes les interface réseau sont désignées.
[!] -f, --fragment
Avec cette option, la règle s’applique seulement aux paquets fragmentés, mais seulement à partir du deuxième fragment. Comme il est impossible d’en déterminer les ports source ou destination (ou le type ICMP), aucune règle ne pourra établir de correspondance sur ces critères. Lorsqu’un «!» précède l’option «-f», la règle ne s’applique qu’aux fragments d’en-tête ou aux paquets non fragmentés.
-c, --set-counters paquets octets
Ceci autorise l’administrateur à initialiser les compteurs de paquets et d’octets d’une règle (lors des opérations INSERT, APPEND, REPLACE ).