Las cadenas pueden ser para trfico entrante (INPUT), trfico saliente (OUTPUT) o trfico reenviado (FORWARD).
Reglas de destino.
Las reglas de destino pueden ser aceptar conexiones (ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT), encaminamiento posterior (POSTROUTING), encaminamiento previo (PREROUTING), SNAT, NAT, entre otras.
Reglas especficas.
Las opciones ms comunes son:
-A aade una cadena, la opcin -i define una interfaz de trfico entrante -o define una interfaz para trafico saliente -j establece una regla de destino del trfico, que puede ser ACCEPT, DROP o REJECT. La -m define que se aplica la regla si hay una coincidencia especfica --state define una lista separada por comas de distinto tipos de estados de las conexiones
(INVALID, ESTABLISHED, NEW, RELATED).
--to-source define que IP reportar al trfico externo -s define trafico de origen -d define trfico de destino --source-port define el puerto desde el que se origina la conexin --destination-port define el puerto hacia el que se dirige la conexin -t tabla a utilizar, pueden ser nat, filter, mangle o raw.
Ejemplos de reglas.
Reenvo de paquetes desde una interfaz de red local (eth1) hacia una interfaz de red pblica (eth0):
Aceptar reenviar los paquetes que son parte de conexiones existentes (ESTABLISHED) o relacionadas de trfico entrante desde la interfaz eth1 para trfico saliente por la interfaz eth0:
Permitir paquetes en el propio muro cortafuegos para trfico saliente a travs de la interfaz eth0 que son parte de conexiones existentes o relacionadas:
Permitir (ACCEPT) todo el trfico entrante (INPUT) desde (-s) cualquier direccin (0/0) la red local (eth1) y desde el retorno del sistema (lo) hacia (-d) cualquier destino (0/0):