-c — Reinicia los contadores de una regla particular. Este parámetro acepta las opciones PKTS y BYTES para especificar qué contadores resetear.
-d — Pone el destino por nombre, dirección IP o red para un paquete que coincide con la regla. Cuando se especifique una red, los siguientes formatos de dirección de IP /máscara de red son soportados:
-f — Aplica esta regla sólo a paquetes fragmentados.
Puede usar el signo de exclamación (!) después de este parámetro para especificar que solamente se aceptan paquetes desfragmentados.
Nota
La distinción entre paquetes fragmentados y defragmentados es deseable, sin importar que los paquetes fragmentados sean una parte estándar del protocolo IP.
Originalmente diseñada para permitir que los paquetes IP viajen a través de redes con marcos de diferentes tamaños, hoy en día la fragmentación es comúnmente utilizada para generar ataques DoS, mediante paquetes mal formados. Tampoco sirve de mucho que IPv6 no permita en absoluto la fragmentación.
-i — Establece la interfaz de red entrante, como ser por ejemplo, eth0 o ppp0. Con iptables, este parámetro opcional solo puede ser utilizado con las cadenas de INPUT y FORWARD, cuando sean utilizadas con la tabla de filter, y la cadena PREROUTING con las tablas nat y mangle.
Este parámetro también da soporte a todas las siguientes opciones especiales:
El signo de exclamación (!) — Revierte la directiva, significando que las interfaces especificadas de excluyen de esta regla.
Signo de suma (+) — Un carácter comodín utilizado para relacionar a todas las interfaces que se correspondan con una cadena determinada. Por ejemplo, el parámetro -i eth+ aplicaría esta regla a cualquier interfaz Ethernet, pero excluiría el resto de las interfases, como por ejemplo, ppp0.
Si el parámetro -i se usa pero no se especifica una interfaz, entonces todas las interfases son afectadas por esta regla.
-j — Salta al destino especificado si un paquete coincide con una regla en particular.
Los destinos estándares son ACCEPT, DROP, QUEUE, y RETURN.
Existen también a disposición algunas opciones extendidas, a través de módulos cargados por defecto con el paquete RPM iptables de Fedora. Algunas de las acciones válidas de ese módulo son LOG, MARK, y REJECT, entre otras. Para obtener mayor información acerca de estas y de otras acciones, consulte la página man de iptables.
Esta opción también puede usarse para dirigir el paquete coincidente a una regla particular en una cadena del usuario fuera de la cadena actual, para que se le puedan aplicar otras reglas al paquete.
Si no se especifica un destino, el paquete se mueve a la regla siguiente sin hacer nada. El contador de esta regla, sin embargo, se incrementa por uno.
-o — Establece la interfaz de red saliente para una regla. Esta opción sólo es válida para las cadenas OUTPUT y FORWARD en la tabla filter, y para la cadena POSTROUTING en las tablas nat y mangle tables. Este parámetro acepta las mismas opciones que el parámetro para la interfaz de red entrante (-i).
-p <protocol> — Establece el protocolo IP afectado por la regla. Este puede ser icmp, tcp, udp, o all, o también puede ser un valor numérico, representando alguno de estos protocolos, o alguno diferente. También puede utilizar cualquiera de los protocolos listados en el archivo /etc/protocols.
El protocolo "all" significa que esta regla se aplica a todos los protocolos soportados. Si no se lista ningún protocolo con esta regla, por defecto se asume "all".
-s — Pone el fuente de un paquete particular usando la misma sintaxis del parámetro de destino (-d).
