Нижче наводиться список команд і правил їх використання. З допомогою команд ми повідомляємо iptables що нам здається зробити. Зазвичай передбачається з двох дій -- додавання нового правила в ланцюжок чи видалення існуючого правила із творців тієї чи іншого таблиці. Далі наведено команди, які використовуються у iptables.

Таблиця 6-2. Команди

-A, --append : Додає нове правило насамкінець заданої ланцюжка.

Приклад:

    iptables -A INPUT ...

-D, --delete : Видалення правила з ланцюжка. Команда має дві формату записи, перший -- коли задається критерій перевірки опцією -D (див. перший приклад), другий -- порядковий номер правила. Якщо задається критерій порівняння, то видаляється правило, що має у собі цей критерій, якщо задається номер правила, він віддалене правило з заданим номером. Рахунок правив у ланцюжках починається із першого.

Приклад:

    iptables -D INPUT --dport 80 -j DROP**, **iptables -D INPUT 1

-R, --replace : У цю команду заміняє одне правило іншим. Здебільшого вона використовується під час налагодження нових правил.

Приклад:

    iptables -R INPUT 1 -s 192.168.0.1 -j DROP

-I, --insert : Вставляє нове правило в ланцюжок. Кількість, таке за ім'ям ланцюжка вказує номер правила, якого потрібно вставити нове правило, інакше кажучи число задає номер для вставляемого правила. У прикладі вище, вказується, що це правило має бути 1-му в ланцюжку INPUT.

Приклад:

    iptables -I INPUT 1 --dport 80 -j ACCEPT

-L, --list : Висновок списку правив у заданої ланцюжку, у цьому прикладі передбачається висновок правил з ланцюжка INPUT. Якщо ім'я ланцюжка не вказується, то виводиться список правил всім ланцюжків. Формат виведення залежить від наявності додаткових ключів у команді, наприклад -n, -v, тощо.

Приклад:

    iptables -L INPUT

-F, --flush : Скидання (видалення) всіх правил з заданої ланцюжка (таблиці). Якщо ім'я ланцюжка і таблиці не вказується, то видаляються всіх правил, переважають у всіх ланцюжках. (Хочеться від себе додати, що й не зазначена таблиця ключем -t (--table), то очищення ланцюжків роблять лише в таблиці filter, прим. перши. )

Приклад:

    iptables -F INPUT

-Z, --zero : Обнуление всіх лічильників в заданої ланцюжку. Якщо ім'я ланцюжка не вказується, то розуміються всі ланцюжка. З використанням ключа -v що з командою -L, виведення буде подано і стан лічильників пакетів, які потрапили під дію кожного правила. Допускається спільного використання команд -L і -Z. І тут видасть спочатку список правил зі лічильниками, та був станеться обнуління лічильників.

Приклад:

    iptables -Z INPUT

-N, --new-chain : Складається нова ланцюжок з заданим ім'ям у заданої таблиці У вище наведеному прикладі створюється нова ланцюжок безпосередньо з ім'ям allowed. Ім'я ланцюжка має бути унікальним й не збігатися з зарезервованими іменами ланцюжків і безкомпромісність дій (такі як DROP, REJECT тощо.)

Приклад:

    iptables -N allowed

-X, --delete-chain : Видалення заданої ланцюжка з заданої таблиці. Удаляемая ланцюжок має мати правив і повинно бути посилань з деяких інших ланцюжків на удаляемую ланцюжок. Якщо ім'я ланцюжка немає, то будуть віддалені все ланцюжка заданої таблиці крім вбудованих.

Приклад:

    iptables -X allowed

-P, --policy : Задает політику по-умолчанию для заданої ланцюжка. Політика по-умолчанию визначає дію, що застосовується до пакетів не які потрапили під дію жодного з правив у ланцюжку. Як політики щодо вмовчанням допускається використовувати DROP і ACCEPT.

Приклад:

    iptables -P INPUT DROP

-E, --rename-chain : Команда -E виконує перейменування користувальницької ланцюжка. У прикладі ланцюжок allowed буде перейменовано на ланцюжок disallowed. Ці перейменування не змінюють порядок роботи, а носять лише косметичний характер.

Приклад:

    iptables -E allowed disallowed

Команда повинна бути вказана завжди. Список доступних команд можна переглянути з допомогою команди iptables -h чи, що те ж саме, iptables --help. Деякі команди можна використовувати що з додатковими ключами. Нижче наводиться список додаткових ключів і описується результати їхньої дії. У цьому зауважте, що саме не наводиться додаткових ключів, що використовуються при побудові критеріїв (matches) чи дій (targets). Ці опції ми будемо обговорювати далі.

Таблиця 6-3. Додаткові ключі

-v, --verbose : Використовується підвищення інформативності виведення і, зазвичай, використовується що з командою --list. Що стосується використання з командою --list, в висновок цієї команди включаються як і ім'я інтерфейсу, лічильники пакетів і байт кожному за правила. Формат виведення лічильників передбачає виведення крім цифр числа що й символьні множники K (x1000), M (x1,000,000) і G (x1,000,000,000). А, щоб змусити команду --list виводити повне число (без вживання множників) потрібно застосовувати ключ -x, який описаний нижче. Якщо ключ -v, --verbose використовується з командами --append, --insert, --delete чи --replace, він виведений докладний звіт про виробленої операції.

Використовується з команадми:

--list**, **--append**, **--insert**, **--delete**, **--replace

-x, --exact : Всім чисел в вихідних даних виводяться їх точні значення без округлення і використання множників K, M, G. Цей ключ використовується тільки з командою --list і застосуємо коїться з іншими командами.

Використовується з команадми:

--list

-n, --numeric : Змушує iptables виводити IP-адреси і номери портів в числовому вигляді запобігаючи спроби перетворити в символічні імена. Цей ключ використовується тільки з командою --list.

Використовується з команадми:

--list

--line-numbers : Ключ --line-numbers включає режим виведення номерів рядків при відображенні списку правил командою --list. Номер рядки відповідає позиції правила в ланцюжку. Цей ключ використовується тільки з командою --list.

Використовується з команадми:

--list

, --set-counters : Цей ключ використовується для установки початкового значення лічильників пакетів і байт в заданий значення під час створення нового правила. Наприклад, ключ --set-counters 20 4000 встановить лічильник пакетів = 20, а лічильник байт = 4000.

Використовується з команадми:

**--insert**, **--append**, **--replace**

--modprobe : Ключ --modprobe визначає команду завантаження модуля ядра. Цей ключ можна використовувати у разі, коли модулі ядра перебуває поза шляху пошуку (search path). Цей ключ можна використовувати з кожного командою.

Використовується з командами:

Усі