Những điều kiện hiện là những điều kiện phải được nạp một cách đặc biệt với sự lựa chọn –m. Sự khác nhau giữa các điều kiện hiện và điều kiện ẩn là ở chỗ các điều kiện ẩn sẽ tự động được nạp khi kiểm tra thuộc tính của các gói tin, trong khi các điều kiện hiện sẽ không bao giờ được nạp một cách tự động – nó để cho người quản trị tự phát hiện và kích hoạt các điều kiện hiện.
Các điều kiện hiện:
OPTION DESCRIPTION
sourceport list Điều kiện này chỉ hợp lệ khi trong luật có chỉ ra điều kiện –p tcp hoặc –p udp và điều kiện –m multiport. Điều kiện -- source-port và điều kiện --sport không sử dụng cùng nhau trong một luật. Chúng tương tự nhau nhưng giá trị của điều kiện này là một danh sách (list tối đa 15 phần tử), các cổng được phân
cách nhau bởi dấu “,”.
Ví dụ: iptables –A INPUT –p tcp –m multiport --source-port 22,53,80,110
destinationport list
Điều kiện --destination-port tương tự như điều kiện --dport, nhưng giá trị của nó là một danh sách các cổng. Cú pháp và điều kiện sử dụng của điều kiện này tương tự như điều kiện -- source-port.
Ví dụ: iptables –A INPUT –p tcp –m multiport --destination-port 22,53,80,110
port list Điều kiện này được sử dụng để kiểm tra gói tin dựa vào cả địa chỉ nguồn lẫn địa chỉ đích của gói tin. Cú pháp điều kiện giống như --source-port.
Ví dụ: iptables –A INPUT –p tcp –m multiport --port 22,53,80,110
macsource mac_addr Điều kiện này được dùng để kiểm tra các gói tin dựa trên địa chỉ MAC nguồn của chúng. Địa chỉ MAC, mac_add, phải được ghi ở định dạng: XX:XX:XX:XX:XX:XX. Điều kiện – mac-source chỉ hợp lệ trong các chuỗi PREROUTING, FORWARD và INPUT, đồng thời trong luật phải chỉ
ra điều kiện –m mac.
Ví dụ: iptables –A INPUT –m mac -- mac-source 00:00:00:00:00:01
Bảng 2.6: Nhóm các điều kiện hiện
Các giá trị của điều kiện có thể được lấy “nghịch đảo” bằng cách sử dụng ký tự “!” đứng sau điều kiện. Ví dụ, nếu ta khai báo điều kiện sau –p ! icmp, iptables sẽ kiểm tra các gói tin không làm việc theo giao thức ICMP.