Muchos comandos iptables tienen la siguiente estructura:

 iptables [-t <nombre-de-tabla>] <comando> <nombre-de-cadena> \ <parametro-1> <opción-1> \ <parametro-n> <opción-n>

<nombre-de-tabla> — Especifica a qué tabla se aplica la regla. Si se omite, se usa la tabla filter.

<comando> — Especifica la acción a realizar, tal como agregar o eliminar una regla.

<nombre-de-cadena> — Especifica la cadena a editar, crear o borrar.

pares de <parametro>-<opción> — Los parámetros y las opciones asociadas que especifican cómo se procesa el paquete que coincide con una regla.

La longitud y complejidad de un comando iptables puede cambiar significativamente, basado en su propósito.

Por ejemplo, un comando para eliminar una regla de una cadena puede ser muy corto:

iptables -D <nombre-de-cadena> <número-de-línea>

En contraste, un comando que añada una regla que filtre los paquetes provenientes de una subred determinada, utilizando una variedad de parámetros y opciones específicas, podría ser bastante extenso. Cuando construya comandos iptables, es importante recordar que algunos parámetros y opciones requieren de otros parámetros y de otras opciones para poder constituir una regla válida. Esto puede producir un efecto cascada, con los futuros parámetros pidiendo otros nuevos. La regla no será válida hasta que no se satisfagan cada parámetro y cada opción que requiera otro conjunto de opciones y parámetros.

Con iptables -h se puede ver una lista comprensiva de la estructura de los comandos de iptables.