ACCEPT意味着允许包通过，DENY 扔掉包就象没有受到过一样，REJECT也把包扔掉，但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者，目的地址无法到达(请注意DENY和REJECT对于ICMP包是一样的)。
　　MASQ 告诉核心伪装此包，它只对forward 链和user defined链起作用，想让它起作用, 编译核心时必需让 IP Masquerading 起作用。
　　REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 '-j REDIRECT' 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用，编译内核时，必须让CONFIG_IP_TRANSPARENT_PROXY起作用。
　　最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。
　　任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了，包将通过当前链的下一个规则。
　　7.2.2 ipchains实例：
　　##清除input规则的规则，并改变input默认的规则链策略为REJECT
　　-F input
　　-P input REJECT
　　##以下是允许input规则链的tcp端口为：80 81 22 123
　　-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
　　-A input -s 0/0 -d 0/0 81 -p tcp -y -j ACCEPT
　　-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
　　-A input -s 0/0 -d 0/0 123 -p udp -j ACCEPT
　　##设置除了以上允许的input规则链以为，拒绝0-1023、2049、6000-6009、7100的tcp和upd端口，
　　-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
　　-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
　　-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
　　-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
　　-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
　　-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
　　##允许系本身统网卡上发生的所有包通过
　　-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
　　-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
　　-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
　　##清除output规则的规则，并改变output默认的规则链策略为ACCEPT
　　-F output
　　-P output ACCEPT
　　##清除forward规则的规则，并改变forward默认的规则链策略为DENY,设置了forward规则链允许对10.10.11.0/24网段的包可以转发并且做伪装处理。
　　-F forward
　　-P forward DENY
　　-A forward -s 10.10.11.0/24 -j MASQ