Kural listesini görmek için
# iptables -L [zincir]
Kural listesini silmek için
# iptables -F [zincir]
Yeni bir zincir eklemek için
# iptables -N ZİNCİR
Bir zinciri silmek için (INPUT, OUTPUT ve FORWARD zincirileri silinemez!)
# iptables -D CHAIN1
iptables kurallarını kaydetmek için
# iptables-save > /etc/sysconfig/iptables
iptables kural listesini yüklemek için
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward (opsiyonel)
iptables-restore < /etc/sysconfig/iptables
Tüm ağ trafiğini engelemek için
# iptables -F
# iptables -A INPUT -j REJECT
# iptables -A OUTPUT -j REJECT
# iptables -A FORWARD -j REJECT
Tüm gelen trafiği engellemek için
# iptables -F INPUT
# iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
# iptables -A INPUT -j REJECT
Tüm giden trafiği engellemek için
# iptables -F OUTPUT
# iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -j REJECT
Bir servise gelen istekleri engellemek
# iptables -A INPUT -p tcp –dport www -j REJECT
Sadece servise gelen yerel istekleri kabul ederek diğerlerini engellemek için.
# iptables -A INPUT -p tcp -i lo –dport www -j ACCEPT
# iptables -A INPUT -p tcp –dport www -j REJECT
Belirli bir sistemden gelen bağlantıları engellemek.
# iptables -A INPUT -s uzak_IP_adresi -j REJECT
Belirli adreslerden belirli servisle erişimlere izin vermek ve diğer servislere erişimleri engellemek.
# iptables -A INPUT -s IP_address_1 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_2 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_3 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT [-p protocol –dport service] -j REJECT
Uzaktaki bir sisteme erişilmesini engellemek
#iptables -A OUTPUT -d uzak_IP_adresi -j REJECT
Uzaktaki bir sistem üzerindeki bir servise erişimin engellenmesi
# iptables -A OUTPUT -p tcp -d uzak_IP_adresi –dport www -j REJECT
Belirli bir ağ adresindeki bir servise erişimlerin engellenmesi
(Bu örnekte yahoo’nun ağındaki web servislerine erişimi engelliyoruz.)
# iptables -A OUTPUT -p tcp -d 64.58.76.0/24 –dport www -j REJECT
www, ssh, and smtp. servislerine izin vermek ve diğer servislere lo arabirmi dışında
erişimi engellemek.
# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m multiport -p tcp –dport www,ssh,smtp -j ACCEPT
# iptables -A INPUT -j LOG -m limit
# iptables -A INPUT -j REJECT
Belirli bir mac adresi dışında gelen istekleri reddetmek.
# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac –mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT
lo arabirimi dışında diğer tüm arabirimlerde ssh dışında tüm erişimi engellemek.
# iptables -F INPUT
# iptables -A INPUT -p tcp –dport ssh -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j REJECT
Ping (ICMP Type 8 echo request) isteklerini engellemek.
# iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
Log tutmak
# iptables -N LOG_DROP
# iptables -A LOG_DROP -j LOG –log-level warning –log-prefix “dropped” -m limit
# iptables -A LOG_DROP -j DROP
Loglanması gereken durumu içeren kuraldan sonra LOG_DROP zinciri çağırılacak:)
# iptables …kurallar… -j LOG_DROP
URL Filtreleme
iptables -A INPUT -p tcp –dport 80 -m string
–algo bm –string /test -j REJECT –reject-with tcp-reset