Sintaxis general: iptables [-t <tabla>] <comando> [<condición>] [<acción>].

<tabla>: [filter] | nat | mangle | raw

<cadena>: INPUT | OUTPUT | FORWARD | PREROUTING | POSTROUTING | <DefinidaUsuario>

Comandos frecuentes
iptables [-t <tabla>] -L [<cadena>] [-v] Muestra las reglas de una cadena (todas por omisión).
-v muestra el número de paquetes y bytes que han cumplido la condición
iptables [-t <tabla>] -F [<cadena>] Borra las reglas de <cadena>. Por omisión todas
iptables [-t <tabla>] -Z [<cadena>] Reinicia los contadores (nº de paquetes y bytes que cumplen las reglas) de la <cadena>. Por omisión todas
iptables [-t <tabla>] -N <cadena-usuario> Crea una nueva <cadena-usuario>
iptables [-t <tabla>] -P <cadena> <política> Establece la <política> (DROP o ACCEPT) por defecto para una <cadena>
iptables [-t <tabla>] -A <cadena> <condición> <acción> Añade una regla (<condición> <acción>) al final de la <cadena>
iptables [-t <tabla>] -D <cadena> <condición> <acción>
iptables [-t <tabla>] -D <cadena> <num_regla> Borra una regla dada su especificación o número
iptables [-t <tabla>] -R <cadena> <num_regla> <condición> <acción> Reemplaza la regla <num_regla> por la nueva regla <condición> <acción>
iptables [-t <tabla>] -I <cadena> <num_regla> <condición> <acción> Inserta en la posición <num_regla> la regla <condición> <acción>

Condiciones (‘!’ para negación)

Protocolo -p <protocolo> <protocolo>: tcp | udp | icmp | ALL
-s <dirIP [/<máscara>]> Dirección origen
Dirección IP -d <dirIP [/<máscara>]> Dirección destino
--sport <puerto | puertoInicio:puertoFin> Puerto | rango origen
Puerto --dport <puerto | puertoInicio:puertoFin> Puerto | rango destino
Interfaz -i <interfaz> <interfaz> de entrada
(tarjeta de red) -o <interfaz> <interfaz> de salida
Estado de la -m state --state <estado> <estado>: INVALID | ESTABLISHED | NEW | RELATED
conexión
--syn Segmento SYN
Flags TCP Flags: SYN | FIN | ACK | RST | PSH | URG | ALL | NONE
--tcp-flag <flagsAComprobar> <flagsQueDebenEstarActivados>
Ejemplo: -p tcp --tcp-flags ALL SYN,ACK (Activados SYN y ACK, desactivados el resto)

Acciones (‘ -j ‘). Por omisión se actualizan los contadores (nº de paquetes y bytes) para la regla y se continúa aplicando la siguiente.
-j ACCEPT Se acepta el paquete
-j DROP- Se descarta el paquete
filter Se rechaza el paquete informando al origen con un ICMP (Opcional; especificar tipo de ICMP, por defecto icmp-port-
-j REJECT [--reject-with <tipo>]
unreacheable)
-j SNAT --to-source [<dirIP>] [:<puerto>] Source NAT (cambio de dirección IP / puerto origen) sobre paquetes salientes. También la dirección del tráfico entrante de
respuesta). Solo aplica a la cadena POSTROUTING.
nat Destination NAT (cambio de dirección IP / puerto destino) sobre paquetes entrantes. Solo necesario para “abrir puertos” (nuevo
-j DNAT --to-destination [<dirIP>] [:<puerto>]
tráfico entrante) y aplica a la cadena PREROUTING
mangle -j TTL --ttl-set <valorTTL> Modifica el valor TTL
-j LOG Guarda información de ese paquete en el fichero de log y continúa con la regla siguiente
TODAS -j <cadenaDeUsuario> Salta a aplicar al paquete las reglas de una cadena definida por el usuario. Si termina con esa cadena sin cumplirse la condición
de ninguna de sus reglas continuará en la cadena desde que se saltó por regla siguiente a la que hizo la llamada