其实匹配扩展中，还有需要加-m引用模块的显示扩展，默认是隐含扩展，不要使用 -m 状态检测的包过滤 -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态 -m multiport 指定多端口号 --sport --dport --ports -m iprange 指定IP段 --src-range ip-ip --dst-range ip-ip -m connlimit 连接限定 --comlimit-above # 限定大连接个数 -m limi…