اگر چه می توانید قوانین iptables را از خط فرمان لایه وارد کنید ، ولی وقتی که سیستم خود را خاموش می نمایید ، این دستورات از بین می روند. در ردهت ، می توانید از پشتیبانی داخلی برای ذخیره کردن و خواندن قوانین iptables با استفاده از اسکریپت سرویس iptables استفاده نمایید.

جدول خرد کردن بسته برای تغییر واقعی اطلاعات بسته استفاده می شود. قوانین خاص اعمال شده به این جدول ، اغلی طراحی شده اند تا رفتار ذاتی بسته ها ، مثل مسیر ، اندازه تماس اندازه تماس و اولویت را اکنترل کنند. قوانینی که به طور واقعی یک بسته را تغییر می دهند ( به جای تغییر مسیر ساده یا توقف آن ) ، می توانند فقط در یک جدول خردکن استفاده شوند. به عنوان مثال ، هدف TOS می تواند به طور مستقیم در جدول خرد کن استفاده شود تا فیلد Type of Service را تغییر دهد و اولویت یک بسته را تغییر دهد. یک هدف TCPMSS می تواند تنظیم گردد تا اندازه یک تماس را کنترل کند. هدف ECN به شما اجازه می دهد تا با حفره های ECN کار کنید و هدف DSCP به شما اجازه خواهد داد تا با بیت های DSCP را تغییر دهید. چند الحاق ROUTE ، یک بسته را تغییر می دهد که در اینجا مقصدش را مجددا می نویسد به جای اینکه فقط آن را تغییر مسیر دهد. 

جداول NAT می توانند برای پیاده سازی هر نوع تغییر مسیر بسته استفاده شوند که یک عمل شفاف برای کاربر است. تغییر مسیر برای پیاده سازی یک پراکسی شفاف استفاده می شود. تغییر مسیر بسته ها توسط هدف REDIRECT صورت می پذیرد. توسط پراکسی شفاف ، بسته های دریافتی می توانند به طور خودکار به یک سرویس دهنده پراکسی تغییر مسیر یابند. به عنوان مثال ، بسته های رسیده به درگاه سرویس وب ( 80 ) ، می توانند به درگاه سرویس Squid Proxy تغییر جهت یابند که معمولا 3128 است. این کار مستلزم یک دستور برای تغییر جهت یک بسته می باشد که از هدف REDIRECT روی زنجیر PREROUTING استفاده می کند :

به علاوه ، دو نوع عمل NAT وجود دارد. NAT مبدا که به صورت هدف SNAT مشخص می شود ، و NAT مقصد ، که به صورت هدف DNAT مشخص می گردد. هدف SNAT برای قوانینی استفاده می شود که آدرس های مبدا را تغییر می دهند و هدف DNAT برای آنهایی است که آدرسهای مقصد را عوض می کنند.

قوانین انتخاب بسته برای عملیات NAT که به جدول NAT اضافه شده اند ، توسط دستور iptables مدیریت می شوند. برای اضافه کردن قوانین به جدول NAT ، باید جدول NAT را با سوئیچ -t مشخص کنید. بنابراین برای افزودن یک قانون به جدول NAT باید جدول NAT را با سوئیچ -t nat بدین شکل مشخص نمایید :

ترجمه آدرس شبکه ( NAT ) ، فرآیندی است که طی آن سیستم ، مقصد یا بسته هایی که در طول سیستم عبور می کنند را تغییرمی دهد. یک بسته قبل از اینکه به مقصر نهایی خود برسد ، از چند سیستم به هم متصل روی یک شبکه عبور می کند. به طور عادی ، آنها به سادگی بسته را عبور می دهند. به هر حال اگر یکی از این سیستم ها ، یک NAT روی یک بسته انجام دهد ، ممکن است مبدا یا مقصد آن عوض شود. یک بسته که قرار است به یک مقصد خاص برسد ، احتمال دارد که آدرس مقصدش تغییر کند. برای این کار ، سیستم باید چنین تغییراتی را به خاطر بسپارد تا مبدا و مقصد برای بسته های پاسخ ، به آدرس های اصلی بسته ای که به آن پاسخ داده می شود ، اطلاع دهند.

یکی از مفید ترین الحاقات ، حالتی است که به طور ساده می تواند اطلاعات ردیابی برای یک بسته را تشخیص دهد. ردیابی تماس یکی از ، اطلاعاتی در مورد یک تماس را نگه می دارد. مثل مبدا ، مقصد و درگاه آن. این کار یک ابزار مؤثر برای تعیین بسته هایی است که متعلق به یک تماس برقرار شده یا مرتبط می باشد. ابتدا باید با -m state ماژول حالت را مشخص کنید. سپس قادرید از سوییچ -state استفاده نمایید. 

اگر سیستم شما یک سرویس اینترنت را میزبانی می کند ( مثل یک سرویس دهنده وب یا FTP ) ، می توانید از iptables برای کنترل دستیابی به آن استفاده نمایید. می توانید با استفاده از سوئیچ های درگاه مبدأ ( --sport ) یا در گاه مقصد ( --dport ) به همراه درگاهی که سرویس استفاده می کند، یک سرویس خاص را مشخص نمایید. iptables به شما اجازه می دهد تا از نامها برای درگاهها استفاده کنید. مثل www برای درگاه سرویس دهنده وب. نام سرویس ها و درگاههایی که آنها استفاده می کنند در فایل /etc/services لیست شده است، که درگاه ها را به سرویس های خاص نگاشت می کند. برای یک سرویس نامگذاری دامنه درگاه ، domain خواهد بود. همچنین اگر بخواهید می توانید از شماره درگاه استفاده نمایید که باید قبل از شماره، علامت دو نقطه ( : ) بیاورید. مثال زیر ، تمام پیامها به سرویس دهنده وب واقع در 192.168.0.43 را دریافت می کند : 

فایروال ها اغلب ، پیامهای پروتکل کنترل پیام اینترنت ( ICMP ) خاص را مسدود می کنند. ICMP پیامها را تغییر مسیر می دهد و به طور منفرد می توانند وظایف مسیر یابی شما را کنترل نمایند. هر چند نیاز دارید تا بعضی از پیامهای ICMP فعال کنید. مثل پیامهای مورد نیاز برای ping ، traceroute و به طور خاص عملیات غیر قابل دسترسی مقصد در بیشتر حالات نیاز دارید. تا مطمئن شوید که بسته های غیر قابل دسترسی مقصد، مجاز هستند. در غیر اینصورت پرس جو های نام دامنه ممکن است با مشکل روبرو شود. بعضی از رایجترین انواع بسته های ICMP در جدول 6 لیست شده اند. می توانید با عمل --icmp-type یک نوع بسته ICMP از بسته را فعال کنید که یک عدد یا یک نام را که بیان کننده پیام است، به عنوان آرگومانش می گیرد. مثالهای زیر ، استفاده از پیامهای echo-reply ، echo-request و destination-unreachable را فعال می کند که دارای شماره های 0 ، 8 و 3 می باشند.

با iptables ، زنجیرهای FORWARD و INPUT به طور مجزا ارزیابی می شوند. هیچ یک در دیگری تغذیه نمی گردد. این بدین معناست که اگر بخواهید به طور کامل ، انتقال آدرسهای خاصی از سیستم خود را مسدود کنید ، باید هر دو قانون FORWARD و INPUT را برای آنها اضافه نمایید.