Les règles sont lues séquentiellement par le noyau pour déduire ce qu'il convient de faire d'un paquet. Si tous les critères (match ou correspondance) sont remplis, il exécute l'instruction donnée par la cible (ou saut).

La syntaxe est la suivante:

iptables -t table commande correspondance cible

La table filter est utilisée par défaut. Elle est dédiée au filtrage des paquets. Les accepte les cibles DROP, LOG, ACCEPT et REJECT. La table filter inclue 3 chaînes pré-définies: