Les règles sont lues séquentiellement au sein de la chaîne par le noyau pour déduire ce qu'il convient de faire d'un paquet. Si tous les critères (match ou correspondance) sont remplis, il exécute l'instruction donnée par la cible (ou saut).

La syntaxe générale est la suivante:

iptables -t table commande correspondance cible

La table filter est utilisée par défaut lors de l'utilisation de la commande iptables sans l'argument -t. Elle est dédiée au filtrage des paquets. Les accepte les cibles DROP, LOG, ACCEPT et REJECT. La table filter inclue 3 chaînes pré-définies:

• FORWARD: s'applique à tous paquets non générés localement et non destinés à l'hote local.
• INPUT: tout paquet destiné a l’hôte local.
• OUTPUT: tout paquet généré localement.

Le tableau ci-dessous résume les commandes disponibles

Les correspondances utilisables pour la définition de la règle dépendent du contexte: la table, le protocole etc.

La cible et le saut forment la partie de la règle qui indique le comportement à adopter lorsque les critères de correspondance sont vérifiés. Il existe deux cibles de base ACCEPT et DROP.

On parle de saut lorsque l'action consiste a exécuter une autre chaîne de la même table. Les cibles spécifie une action a effectuer sur le paquet en question. Certaines cibles stopperont la progression du paquet dans la chaîne (comme DROP ou ACCEPT) alors que d'autres permettront de continuer d'évaluer les autres règles de la chaîne comme LOG,ULOG ou TOS.

La cible LOG est spécialement destinée à journaliser de informations détaillées sur les paquets.

Journalisation en espace utilisateur. Permet d'envoyer le paquet complet à des systèmes de log externes dans l'espace utilisateur au travers d' une interface de connexion réseau: diverses bases de données ou systèmes prévus pour faciliter la recherche/débogage via les logs.

Fonctionne comme la cible DROP mais renvoie un message d'erreur à l' hôte à l'origine du paquet.