Lệnh trong iptables cần phải theo một cấu trúc nhất định. Nhiều khi thứ tự của những tùy chọn cũng có thể làm cho câu lệnh trở thành đúng hoặc sai. Các dòng luật trong Firewall được duyệt từ trên xuống vì thế đôi khi một lệnh cho phép gói tin với một điều kiện nào đó đi sau một luật với điều kiện tương tự nhưng lại từ chối thì Firewall sẽ từ chối gói tin đó.
Cấu trúc lệnh của iptables bắt đầu từ iptables sau đó là một hoặc nhiều tùy chọn, chain, tập điệu kiện hợp và cuối cùng là target. Nói một cách rõ hơn, cấu trúc lệnh iptables như sau:
Trong đó:
OPTION DESCRIPTION
t table Xác định tên bảng (table) sẽ chịu tác động của lệnh. Trong trường hợp không chỉ ra tên bảng, mặc định iptables sẽ thực hiện các lệnh trên bảng filter.
command Tên lệnh sẽ thực hiện trên bảng được chỉ ra, ví dụ thêm hay xóa một luật trong chuỗi luật nào đó
chain Tên của chuỗi luật sẽ chịu tác động của lệnh.
Chain có thể là INPUT, OUTPUT, FORWARD của bảng filter hoặc cũng có thể là chain do ta tự định nghĩa.
Đồng thời, chain của các bảng nat hay mangle iptables <t table> <command> <chain> <matching criterria> <j target>
cũng được sử dụng ở đây.
matching criterria
Là nội dung của luật. Match, là các cặp điều kiện và giá trị của nó, định nghĩa cách thức luật sẽ được áp dụng và hành động sẽ tác động vào một gói tin khi gói tin đó đáp ứng được luật. Định dạng của match như sau:
điều_kiện_1 giá_trị_1 điều_kiện_2 giá_trị_2 … điều_kiện_N giá_trị_N
j target Chỉ ra hành động (target) sẽ tác động vào một gói tin khi gói tin đó đáp ứng được luật (match) chỉ ra.
Bảng 2.1: Các tùy chọn của cấu trúc lệnh