Iptables 指南 1.1.19(中文版)(二)

1、不指定此项，则暗示任何端口。

2、使用服务名或端口号，但名字必须是在/etc/services 中定义的，因为iptables从这个文档里查找相应的端口号。从这能够看出，使用端口号会使规则装入快一点儿，当然，可读性就差些了。但是假如您想写一个包含200条或更多规则的规则集，那您还是老老实实地用端口号吧，时间是主要因素（在一台稍微慢点儿地机子上，这最多会有10秒地不同，但要是1000条、10000 条呢）。

3、能够使用连续的端口，如：--source-port 22:80这表示从22到80的任何端口，包括22和80。假如两个号的顺序反了也没关系，如：--source-port 80:22这和 --source-port 22:80的效果相同。

4、能够省略第一个号，默认第一个是0，如：--source-port :80表示从0到80的任何端口。

5、也能够省略第二个号，默认是65535，如：--source-port 22:表示从22到 65535的任何端口

6、在端口号前加英文感叹号表示取反，注意空格，如：--source-port ! 22表示除22号之外的任何端口；--source-port ! 22:80表示从22到80（包括22和80）之外的任何端口。

注意：这个匹配操作不能识别不连续的端口列表，如：--source-port ! 22, 36, 80 这样的操作是由后面将要介绍的多端口匹配扩展来完成的。