范例
/sbin/iptables -A FORWARD -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp -d 192.168.20.1 --dport 80 -j ACCEPT (来源:00-C0-26-A0-B9-DE 至目的地:192.168.20.1 服务:web 允许)
/sbin/iptables -A FORWARD -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp -d ! 192.168.20.1 --dport 80 -j DROP (来源:00-C0-26-A0-B9-DE 至目的地:非192.168.20.1 服务:web 拒绝)
/sbin/iptables -A INPUT -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp -d 192.168.20.1 --dport 80 -j ACCEPT   (INPUT与FORWARD搭配同时设定)
/sbin/iptables -A INPUT -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp -d ! 192.168.20.1 --dport 80 -j DROP   (INPUT与FORWARD搭配同时设定)
/sbin/iptables -A FORWARD -m mac --mac-source 00-C0-26-A0-B9-DE -j ACCEPT      (来源:00-C0-26-A0-B9-DE 至目的地:(任何) 服务:(任何) 允许)
/sbin/iptables -A FORWARD -m mac --mac-source 00-C0-26-A0-B9-DE -j DROP        (来源:00-C0-26-A0-B9-DE 至目的地:(任何) 服务:(任何) 拒绝)
/sbin/iptables -A INPUT -m mac --mac-source 00-C0-26-A0-B9-DE -j ACCEPT        (INPUT与FORWARD搭配同时设定)
/sbin/iptables -A INPUT -m mac --mac-source 00-C0-26-A0-B9-DE -j DROP          (INPUT与FORWARD搭配同时设定)
解说
=====================================================================================================================================================================
命令(固定)      型态(Forward/Input都设)  来源(网卡编号)                                目的地(IP)          目的PORT    规则(Accept允许或Drop拒绝,先设规则高于后设规则)                     
=====================================================================================================================================================================
/sbin/iptables  -A FORWARD               -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp  -d 192.168.20.1     --dport 80  -j ACCEPT 
/sbin/iptables  -A FORWARD               -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp  -d ! 192.168.20.1   --dport 80  -j DROP   
/sbin/iptables  -A INPUT                 -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp  -d 192.168.20.1     --dport 80  -j ACCEPT 
/sbin/iptables  -A INPUT                 -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp  -d ! 192.168.20.1   --dport 80  -j DROP   

其它范例
/sbin/iptables -A FORWARD -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp -d   192.168.20.1 --dport 25 -j ACCEPT (来源:00-C0-26-A0-B9-DE 至目的地:192.168.20.1 服务:SMTP 允许)
/sbin/iptables -A FORWARD -s 192.168.0.1 -p tcp -d 192.168.20.1/255.255.255.255 --dport 80 -j ACCEPT (来源:192.168.0.1 至目的地:192.168.20.1 服务:web 允许)
/sbin/iptables -A FORWARD -s 192.168.0.1 -p tcp -d 192.168.20.0/255.255.255.0 --dport 80 -j ACCEPT (来源:192.168.0.1 至目的地:192.168.20.0(C CLASS) 服务:web 允许)
/sbin/iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT (来源:192.168.0.0(C CLASS) 至目的地:(任何) 服务:web 允许)



/sbin/iptables -A FORWARD -m mac --mac-source 00-00-00-00-00-01 -p tcp --dport 80 -j ACCEPT (允許MAC1對外上網)
/sbin/iptables -A FORWARD -m mac --mac-source 00-00-00-00-00-02 -p tcp --dport 80 -j ACCEPT (允許MAC2對外上網)
/sbin/iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 80 -j DROP (拒絕所有內部IP上網)
/sbin/iptables -A INPUT -m mac --mac-source 00-C0-26-A0-B9-DE -p tcp --dport 80 -j ACCEPT  
/sbin/iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 80 -j DROP