关于iptables中-m参数的一点疑问？

bluezombiecn

    查阅很多介绍iptables的文章经常看到使用-m的参数，所以对此有点疑惑。
    请问下面两行代码所表达的意思是否一致？如否最好能帮忙解释一下！多谢

1. iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
   

复制代码

1. iptables -A INPUT -p tcp --dport 53 -j ACCEPT

复制代码

w630866139

可能是我见的少吧、不过我没见过-m tcp的选项，不过就我所知-m 参数是为了加快匹配的效率的，试想：

1. 1 iptables -F
   
2.   2 iptables -P FORWARD DROP
   
3.   3 iptables -P INPUT DROP
   
4.   4
   
5.   5 #################### FORWARD
   
6.   6 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
   
7.   7 iptables -A FORWARD -m state --state INVALID -j DROP
   
8.   8 ###############################################
   
9.   9 iptables -A FORWARD -p tcp -m state --state NEW --tcp-flags ALL SYN -s 0/0 -d 192.168.0.10/32 --dport 80 -j ACCEPT
   

复制代码

在上述的脚本中，注意第九行，其实“-m state --state NEW”可以不用，但是为什么又加上这个参数？那是为了更加精确地匹配，加快匹配速率的、、、

bluezombiecn

回复 2# w630866139
受教了，只是看到有些文章是这样写的，我自己也测试了下，没看出什么区别。


   

w630866139

回复 3# bluezombiecn

肉眼肯定没法分辨出来、、、就像用find命令，你用“find /home -name filename”搜索home目录下某个文件的速度肯定要比“find / -name file”
搜索要来的快啊、前者的限制条件明显更精确，速率肯定也更快了