Trong iptables chia ra thành các bảng (tables); trong mỗi bản sẽ chia ra thành nhiều chuỗi (chains) để xử lý packet tùy theo tình huống (hướng đi của packets); trong mỗi chain sẽ có các luật (rules) mà tôi sẽ cấu hình để xử lý các
packets tương ứng với mỗi chain.
Ví dụ 1: giả sử bạn muốn block tất cả các packets từ IP 200.200.200.1 thì bạn sẽ dùng option -s để chỉ ra địa chỉ IP nguồn hay DNS nguồn. Vì thế, bạn sẽ viết như sau để chỉ các traffic đến từ nguồn 200.200.200.1
Nhưng như thế bạn chưa nói iptables xử lý các gói tin đó như thế nào? Do đó, bạn phải dùng option -j để bảo iptables phải xử lý như thế nào: ACCEPT, REJECT, và DROP. Ở đây, ta DROP.
Tuy nhiên, máy tính vẫn chưa biết cách xử lý như thế nào vì ta chưa xác định rule này thuộc chain nào? Do đó, ta phải dùng option –A để thêm rule này vào một chain mà ta chỉ định. Bởi vì bạn muốn block các gói tin từ ngoài vào firewall nên ta dùng chain INPUT.
Lệnh trên sẽ block tất cả các gói tin xuất phát từ máy có ip là 200.200.200.1.
Ví dụ 2: giả sử bây giờ, ta chỉ muốn block gói tin telnet xuất phát từ máy có ip trên thì sao? Telnet là dịch vụ sử dụng TCP, port 23. Ta có thể dùng option – p để chỉ định protocols; --destination-port để chỉ ra port trên máy đích ( port mà máy có ip trên đang cố gắng truy cập trên máy tính của ta hiện giờ). Nếu nhớ port là 23 thì sau --destination-port có thể dùng là 23; không thì dùng chữ telnet.
iptables -A INPUT -s 200.200.200.1 -j DROP iptables -s 200.200.200.1 -j DROP
Ví dụ 3: Ở trên, ta mới chỉ ra rõ một địa chỉ IP trong rule; bây giờ, ta muốn đề cập tới một dãy IP 200.200.200.* thì sao? Ta có thể sử dụng như sau:
Ở 3 ví dụ trên đã cho ta thấy các cách cơ bản để thiết lập một luật trong iptables, với cú pháp luôn bắt đầu bằng “iptables” tiếp đó là dùng option –A để thêm rule này vào một chain mà ta chỉ định là INPUT, theo sau đó là các điều kiện của luật như –s chỉ source-addr, cùng option –p chỉ giao thức và cuối cùng là target bắt đầu bằng “-j”.