Dados

As opções de dados possíveis de inserção em uma regra iptables são:

-s
especifica a origem do pacote. Origem que pode ser informada como:

• endereço IP completo (-s 192.168.1.1);
• hostname (-s ubuntu);
• endereço fqdn (-s www.ubuntu.com);
• par rede/máscara (-s 200.200.200.0/255.255.255.0 ou -s 200.200.200.0/24).

-d
especifica um destino para o pacote, com a mesma sintaxe descrita acima por -s.

-i
identifica a interface de entrada do pacote, podendo ser placa de rede, modem ou interface de conexão:

• -i eth0
• -i eth1
• -i ppp0

-o
identifica a interface de saída do pacote, com a mesma sintaxe descrita acima em -i.

OBS: A interface de entrada (-i) nunca poderá ser especificada em um chain OUTPUT e a interface de saída (-o) nunca poderá ser especificada em um chain INPUT.

-p
especifica o protocolo usado na regra, podendo ser:

• -p tcp
• -p udp
• -p icmp

-sport ou --source-port
especifica uma porta ou faixa de portas de origem. Deve sempre ser acompanhado por -p tcp e -p udp.

-dport ou --destination-port
especifica uma porta ou faixa de portas de destino. Deve sempre ser acompanhado por -p tcp e -p udp.

!
exclui determinado argumento (exceção).

Ações

Sempre vem após o parâmetro -j e os mais usados são:

• ACCEPT - O pacote é ACEITO e o processamento das regras daquele chains é concluído;
• DROP - Rejeita o pacote sem nenhum aviso;
• REJECT - Rejeita o pacote, mas envia um aviso;
• LOG - Este módulo envia uma mensagem ao syslog (/var/log/messages) tanto com o pacote aceito ou rejeitado.