在没有足够权限的情况下执行时 iptables 会返回退出代码 3（而不是 1？），是否有特定原因？

文档不完整。该代码包含以下内部使用的错误代码列表：

enum xtables_exittype {
    OTHER_PROBLEM = 1,
    PARAMETER_PROBLEM,
    VERSION_PROBLEM,
    RESOURCE_PROBLEM,
    XTF_ONLY_ONCE,
    XTF_NO_INVERT,
    XTF_BAD_VALUE,
    XTF_ONE_ACTION,
};

当它尝试初始化时，它会：

if (!*handle)
    xtables_error(VERSION_PROBLEM,
           "can't initialize iptables table `%s': %s",
           *table, iptc_strerror(errno));

xtables_error打印错误消息并以给定的退出代码退出。

恕我直言，该代码似乎有缺陷，假设这里的失败是由于版本问题而没有检查errno以查看它实际上是EPERM.

退出代码的唯一规则是 0 表示成功，任何其他值表示失败。这个规则超越了unix：它也是其他操作系统（包括DOS、Windows和许多具有退出代码概念的嵌入式系统，但VMS的做法不同）上的常见约定。在 Unix 系统中，它被嵌入到 shell 的布尔结构 ( if, while, &&, ||, !, set -e, …) 中，make然后是所有标准实用程序。在 POSIX C 程序中，EXIT_SUCCESS为 0 并且EXIT_FAILURE是某个非零值（通常为 1）。

关于失败退出代码的选择，没有规则或普遍惯例。只有少数 POSIX 实用程序强制要求特定的故障状态代码：

• cmp和diff对于不同的文件返回 1，对于错误情况返回 ≥2。
• expr如果表达式计算结果为零或 null，则返回 1；如果表达式无效，则返回 2；如果其他错误，则返回 ≥3。
• grep对于“未找到”返回 1，对于错误情况返回 ≥2。许多搜索命令都遵循这一点（但不是find，如果没有文件匹配则返回 0）。
• mesg返回 0 表示是，1 表示否，≥2 表示错误。
• patch如果块被拒绝则返回 1，对于其他错误则返回≥2。
• sort -c如果文件数据未排序，则返回 1；如果有错误，则返回 ≥2。
• compress和localedef为特定错误定义一些小值。

有一个常见但不普遍的观点，即较大的值意味着更严重的失败。对于测试布尔条件的命令，例如grep（此模式是否存在？）和diff（这些文件是否相同），1 表示“否”，较高的值表示错误。此外，从 126 开始的值很少使用，因为它们被烘焙到 shell 中（以及、 、 和command）env：nice126和 127 表示调用外部命令失败，而 128 以上的值表示命令被终止一个信号。nohuptime$?/usr/include/sysexits.h来自sendmail，我只在电子邮件系统中看到过它，特别是诸如procmail 之类的邮件传递代理。

许多程序在任何失败时总是返回 1 或总是返回 2。它恰好iptables定义了一些不同的错误代码。

显示的返回值strace来自系统调用。系统调用返回-1以指示错误并将错误代码存储在errno多变的。 Straceerrno在返回码后显示括号中的值。 EACCES（“权限被拒绝”）和（“不允许操作”）之间的区别EPERM有点微妙；总体思路是EACCES表示目标对象上的权限不允许该操作，而EPERM表示存在其他权限问题（例如根本无法访问该对象，或者该操作仅限于 root）。