• -A cadeia - Anexa regras ao final de uma cadeia. Se um nome de host é fornecido, como fonte ou como destino, uma regra é adicionada para cada IP relacionado a esse host.
• -D cadeia - Apaga uma ou mais regras de cadeia especificada.
• -D cadeia regra_num - Apaga a regra residente na posição "regra_num" da cadeia especificada. A primeira regra da cadeia é a número 1.
• -R cadeia regra_num - Substitui a regra "regra_num" da cadeia pela regra especificada pela regra dada.
• -I cadeia regra_num - Insere uma ou mais regras no começo da cadeia. Se um nome de host é fornecido, como fonte ou como destino, uma regra é adicionada para cada IP relacionado a esse host.
• -L [cadeia] - Lista todas as regras de uma cadeia. Caso a cadeia não seja especificada lista as regras de todas as cadeias.
• -F [cadeia] - Remove todas as regras de uma cadeia. Caso a cadeia não seja especificada remove as regras de todas as cadeias.
• -Z [cadeia] - Restaura os contadores de datagramas e de bytes em todas as regras da cadeia. Caso a cadeia não seja especificada restaura os contadores de todas as cadeias.
• -N [cadeia] - Cria uma cadeia definida pelo usuário com o nome especificado.
• -X [cadeia] - Apaga a cadeia definida pelo usuário ou todas se não for especificada uma.
• -C [cadeia] - Verifica o datagrama descrito pela regra especificada contra a cadeia especificada, retornando uma mensagem de como a cadeia processou o datagrama. Isso é muito útil para testar configurações de firewall.
• -P [cadeia política] - Define a política padrão para uma cadeia dentro de uma politica especificada. As politicas válidas são: ACCEPT, DROP, QUEUE, RETURN.

Regras

• -p[!] protocol - Define o protocolo ao qual a regra se aplica. Ex: tcp udp ou icmp.
• -s{!] address[/mask] - Define a origem do pacote ao qual a regra se aplica.
• -d[!] address[/mask] - Define o destino do pacote ao qual a regra se aplica.
• -j alvo - Define um alvo para o pacote caso o mesmo se encaixe na regra.
• -i [!] interface_name - Define o nome da interface por onde o datagrama foi recebido. Ex: eth0, eth1, eth+.
• -o {!] Interface_name - Define o nome da interface por onde o datagrama será transmitido.
• [!] -f - Indica que a regra somente se refere ao segundo fragmento e aos subseqüentes de pacotes fragmentados.
• - -sport [!] [port[:port]] - Especifica a porta de origem do datagrama.
• - -dport [!] [port[:port]] - Especifica a porta destino do datagrama.
• - -tcp-flags [!] mask comp - Especifica que esta regra somente será válida quando os flags do datagrama TCP coincidirem com o especificado em mask e comp. Mask é uma lista separada por vírgulas dos flags que devem ser configurados. Os flags válidos são: SYN, ACK, FIN, RST, URG, PSH, ALL ou NOME.
• - -syn - Especifica que a regra deve encontrar somente datagramas com o bit SYN ligado e os bits ACK e FIN desligados.
• - -icmp-type [!] typename - Especifica o tipo de mensagem ICMP que a regra deve satisfazer, o tipo pode ser especificado por nome ou número.