Cada classificador é composto por um comando, um ou mais parâmetros e uma ou mais extensões. Junto com uma política eles formam uma regra do firewall.

6.1. Comandos

Comandos especificam o que fazer com uma definida regra.

-A cadeia	Anexa uma ou mais regras no fim de uma cadeia especificada
-D cadeia [n_regra]	Apaga uma ou mais regras da cadeia especificada, pode ser especificada o número da regra que será excluída
-I cadeia [n_regra]	Insere uma ou mais regras na posição específica de uma cadeia específica, se a posição não for definida, o padrão é 1
-L [cadeia]	Lista todas regras em uma cadeia definida, se esta não for definida o comando listará todas as regras do firewall
-F [cadeia]	Remove todas as regras da cadeia definida, se esta não for definida o comando removerá todas as regras do firewall
-N cadeia	Cria uma nova regra para a cadeia específica
-X [cadeia]	Apaga a cadeia definida, se esta não for definida apaga todas cadeias
-P cadeia política	Define uma política padrão para uma cadeia específica

6.2. Parâmetros

Os parâmetros setam definições para as regras aplicarem nos pacotes trafegados pelo firewall. O [!] indica negação, ou seja, inverte a regra.

-p [!] protocolo	Define o protocolo que a regra irá tratar
-s [!] end_IP[/mask]	Define o endereço de origem do pacote que a regra irá tratar
-d [!] end_IP[/mask]	Define o endereço de destino do pacote que a regra irá tratar
-j [!] alvo	Define um alvo para o pacote
-i [!] nome	Define o nome da interface por onde o pacote chegou
-o [!] nome	Define o nome da interface por onde o pacote sairá

6.3 Extensões

O iptables pode usar módulos para tratar os pacotes com extensões. Estas extensões podem ser chamas de duas formas: implicitamente, utilizando o parâmetro -p, especificando assim o protocolo a ser tratado ou com a opção -m, para chamar o modulo específico para tratar a extensão.

icmp : Extensão para tratar pacotes ICMP:

• --icmp-type [!] nome ou número: Especifica qual mensagem ICMP que a regra vai tratar. Este tipo pode ser especificado pelo número, no caso o número da porta IP que ela se refere, ou pelo nome.
• limit : Define a utilização de limites para certos pacotes. Eficaz contra ataques do tipo Flooding e DoS.
• --limit taxa - Define o número máximo de ocorrências por um período de tempo, este tempo pode ser: por segundo (/second), por minuto (/minute), por hora (/hour) ou por dia (/day).
• --limit-burst número - Número máximo de pacotes antes que o limite comece a ser imposto.

tcp : Extensão para tratar pacotes TCP:

• --source-port [!] porta[:porta] : Define a porta de origem do pacote, ou um intervalo de portas.
• --destination-port [!] porta[:porta] : Define a porta de destino do pacote, ou um intervalo de portas.
• --tcp-flags [!] mask comp : Trata pacotes com o flags definidos do TCP setados. O parâmetro mask define quais flags serão testados e o parâmetro comp define quais flags devem estar setados.
• [!] -syn : Trata pacotes de inicio de conexão, com o flag SYN setado.

udp : Extensão para tratar pacotes UDP:

• --source-port [!] porta[:porta] : Define a porta de origem do pacote, ou um intervalo de portas.
• --destination-port [!] porta[:porta] : Define a porta de destino do pacote, ou um intervalo de portas.