Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам,  имеющих уровень конфиденциальности в указанном диапазоне включительно.

Не принимать пакеты с иерархическими уровнями конфиденциальности от 1 до 3-х:

iptables -A INPUT -m astralabel --maclev 1:3 -j DROP

Опция maclev может быть "реверсирована" с помощью модификатора "!".

Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов и реверсирование не допускаются, однако в одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты).

Нумерация битов категорий начинается с единицы.

Не пропускать исходящие пакеты с установленными одновременно битами категорий 1 и 2:

iptables -A OUTPUT -m astralabel --maccat 1 --maccat 2 -j DROP

Опции maclev и maccat могут применяться одновременно в одном правиле.

Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями.

Не принимать пакеты с установленными битами категорий 1 и 2 и уровнем конфиденциальности 3:

iptables -A INPUT -m astralabel --maclev 3 --maccat 1 --maccat 2 -j DROP