この設定は -l (list:リスト) または -s (set timeout values:タイムアウト値設定) コマンドとの組み合わせでのみ使用可能である。
ソース(元) とデスティネーション(先)のホスト名が一つ以上の アドレスであった場合はそれらの考えられうる組み合わせが追加される。
ソースは一つ以上のポートまたはICMPタイプを含む。 それぞれの指定はservice名、port番号、または(数値での)ICMP タイプで指定できる。 この章の残りの部分で記述する port は、port番号またはICMPタイプを示す。 これらの指定の内、port番号の範囲を指定する場合は、 port:port と、記述する。 さらに、ソース(元)とデスティネーション(先)の指定できる合計port 数は IP_FW_MAX_PORTS (現状 10)を超えてはならない。 ここで、portの範囲指定の場合は2と数える。
TCP、UDPまたはICMPパケットの「最初のフラグメントでない」部分は常に ファイヤーウォールに許可される。 アカウント制御においては、これらの二番目以降のフラグメントは 特別に扱われ、種々の方法でカウントできる。 port番号0xFFFF(65535)が二番目以降のTCPまたはUDPパケットとして 扱われる。 これらのport番号0xFFFFのパケットはアカウント目的で用いられる。 0xFF (255)はICMPパケットの二番目以降に相当するものとして扱われる。 また、ICMPタイプが0xFFのパケットはアカウント目的で用いられる。 注意すべきは、記述したコマンドやプロトコルは、portを暗黙に制限する。 portは下記プロトコルとの組み合わせで使用する。 tcp、 udp、 または icmp
このオプションが省略された場合は、デフォルトのアドレス/ネットマスクとして 0.0.0.0/0 (すべてのアドレスに適合するもの)がソースアドレスとして使用される。 チェックコマンドにおいてはこのオプションが必須であり、必ず1つのポートが 指定されていなければならない。
指定した条件を双方向のIPパケットに適合する。 このオプションはappend(追加)、insert(挿入)またはdelete(削除) コマンドと組み合わせて使用可能である。
このオプションを指定した場合、パケットがローカルホストからの ものであればマスカレードパケットとして扱われる。 さらに、逆向きのパケットは自動的に逆マスカレードパケットとして 扱われ、ファイヤーウォールをバイパスする。 このオプションは、転送ファイヤーウォールの場合で"policy"として accept (またはデフォルトの"policy"として accept が指定されている場合)に使用可能で、さらにカーネルコンパイル時に
CONFIG_IP_MASQUERADE が定義されていなければならない。
このオプションは、入力ファイヤーウォールの場合で"policy"として accept が指定されている場合に使用可能で、さらにカーネルコンパイル時に CONFIG_IP_TRANSPARENT_PROXY が定義されていなければならない。
条件やパケットの追加、削除および確認において詳細情報を出力する。 このオプションはappend(追加)、insert(挿入)、delete(削除) またはcheck(確認)コマンドと組み合わせでのみ有効である。