带 -m 和 -p 参数的 iptables

使用该-p tcp选项，tcp 模块已经加载，因此它有点多余，不是必须使用该-m tcp选项，我看不出有任何理由使用该选项会使规则更安全。

请参阅iptables 手册页以获得更好的理解和比较：

-p, --protocol [!] 协议

要检查的规则或数据包的协议。指定的协议可以是 tcp、udp、icmp 或 all 之一，也可以是一个数值，表示这些协议之一或不同的协议。/etc/protocols 中的协议名称也是允许的。一个 ”！” 协议反转测试之前的参数。数字零等于所有。Protocol all 将与所有协议匹配，当省略此选项时将被视为默认值。

...

匹配扩展

iptables 可以使用扩展的数据包匹配模块。它们以两种方式加载：隐式地，当指定 -p 或 --protocol 时，或使用 -m 或 --match 选项，后跟匹配的模块名称；在这些之后，各种额外的命令行选项变得可用，具体取决于特定模块。您可以在一行中指定多个扩展匹配模块，并且可以在指定模块后使用 -h 或 --help 选项来接收特定于该模块的帮助。

有关可用选项的列表，-p tcp请参见此处：

http://ipset.netfilter.org/iptables-extensions.man.html#lbCF

如上所述，使用-m选项可以添加扩展模块，然后可以使用更多匹配的选项。例如cpu 模块：

中央处理器

[!] --cpu 数量

匹配处理此数据包的 CPU。cpus 编号从 0 到 NR_CPUS-1 可以与 RPS（远程数据包引导）或多队列 NIC 结合使用，以将网络流量分散到不同的队列上。

例子：

iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-port 8081

自 Linux 2.6.36 起可用。

iptables 扩展的完整列表。

来自 OP 的附加问题：我不明白 -m 匹配什么。什么字符串？-m tcp 匹配什么？它试图在哪里找到“tcp”这个词？

答：-m用于匹配模块名称而不是字符串。通过使用特定模块，您可以获得某些匹配选项。请参阅上面的 cpu 模块示例。随着-m tcp模块 tcp 的加载。tcp 模块允许某些选项：--dport, --sport, --tcp-flags, --syn, --tcp-option在 iptables 规则中使用。但是 using-p tcp已经启用了 tcp 模块，这就是为什么即使不使用-m tcp. 希望它能消除你所有的困惑。