Admin: /* KOLOFON */

2026-04-20T09:57:05Z

KOLOFON

← Äldre version		Versionen från 20 april 2026 kl. 09.57
Rad 419:		Rad 419:
	man-pages@man7.org		man-pages@man7.org
	</pre>		</pre>

			= Sidslut =

			Orginalhemsidan på Engelska :https://man7.org/linux/man-pages/man8/iptables.8.html
			Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på
			https://www.linux.se/kontaka-linux-se/
			<BR><BR>Tack till [https://datorhjalp.se Datorhjälp] som har sponsrat [https://www.linux.se Linux.se] med webbhotell.

			[[Kategori:Linuxmanual grupp 8]]
			[[Kategori:Linuxmanual]]

Admin: Skapade sidan med '= iptables(8) = == NAMN == '''iptables/ip6tables''' — administrationsverktyg för IPv4/IPv6-paketfiltrering och NAT == SYNOPSIS ==

 iptables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation  ip6tables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation  iptables [-t tabell] -I kedja [regelnummer] regelspecifikation  iptables [-t tabell] -R kedja regelnummer regelspecifikation  iptables [-t tabell] -D kedja regelnummer  iptables [-t tabell] -S [kedja [regelnum...'

2026-04-20T09:56:18Z

Skapade sidan med '= iptables(8) = == NAMN == '''iptables/ip6tables''' — administrationsverktyg för IPv4/IPv6-paketfiltrering och NAT == SYNOPSIS == <pre> iptables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation ip6tables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation iptables [-t tabell] -I kedja [regelnummer] regelspecifikation iptables [-t tabell] -R kedja regelnummer regelspecifikation iptables [-t tabell] -D kedja regelnummer iptables [-t tabell] -S [kedja [regelnum...'

Ny sida

= iptables(8) =

== NAMN ==

'''iptables/ip6tables''' — administrationsverktyg för IPv4/IPv6-paketfiltrering och NAT

== SYNOPSIS ==

<pre>
iptables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation

ip6tables [-t tabell] {-A|-C|-D|-V} kedja regelspecifikation

iptables [-t tabell] -I kedja [regelnummer] regelspecifikation

iptables [-t tabell] -R kedja regelnummer regelspecifikation

iptables [-t tabell] -D kedja regelnummer

iptables [-t tabell] -S [kedja [regelnummer]]

iptables [-t tabell] {-F|-L|-Z} [kedja [regelnummer]] [alternativ...]

iptables [-t tabell] -N kedja

iptables [-t tabell] -X [kedja]

iptables [-t tabell] -P kedja policy

iptables [-t tabell] -E gammalt-kedjenamn nytt-kedjenamn

regelspecifikation := [matchningar...] [mål]

matchning := -m matchnamn [alternativ-för-matchning]

mål := -j målnamn [alternativ-för-mål]
</pre>

== BESKRIVNING ==

'''iptables''' och '''ip6tables''' används för att konfigurera, underhålla och inspektera tabeller med IPv4- och IPv6-regler för paketfiltrering i Linux-kärnan.

Flera olika tabeller kan definieras. Varje tabell innehåller ett antal inbyggda kedjor och kan också innehålla användardefinierade kedjor.

Varje kedja är en lista med regler som kan matcha en uppsättning paket. Varje regel anger vad som ska göras med ett paket som matchar. Detta kallas ett ''mål'' (''target''), och målet kan vara ett hopp till en användardefinierad kedja i samma tabell.

== MÅL ==

En brandväggsregel anger kriterier för ett paket och ett mål. Om paketet inte matchar undersöks nästa regel i kedjan. Om det matchar avgör målets värde vad som händer härnäst.

Målet kan vara:

* namnet på en användardefinierad kedja
* ett av målen som beskrivs i [[iptables-extensions(8)]]
* ett av specialvärdena '''ACCEPT''', '''DROP''' eller '''RETURN'''

; '''ACCEPT'''
: släpp igenom paketet

; '''DROP'''
: kasta bort paketet

; '''RETURN'''
: sluta traversera denna kedja och återuppta vid nästa regel i den föregående (anropande) kedjan

Om slutet av en inbyggd kedja nås, eller om en regel i en inbyggd kedja med mål '''RETURN''' matchas, avgör kedjans policy paketets öde.

== TABELLER ==

Det finns för närvarande fem oberoende tabeller. Vilka som finns tillgängliga beror på kärnans konfiguration och vilka moduler som är laddade.

; '''-t''', '''--table''' ''tabell''
: anger vilken tabell kommandot ska arbeta mot. Om kärnan är konfigurerad med automatisk modulladdning försöker systemet ladda rätt modul om den inte redan är laddad.

=== filter ===

Detta är standardtabellen om inget ''-t'' anges.

Den innehåller de inbyggda kedjorna:

* '''INPUT''' — för paket som är avsedda för lokala sockets
* '''FORWARD''' — för paket som routas genom maskinen
* '''OUTPUT''' — för lokalt genererade paket

=== nat ===

Denna tabell används när ett paket som skapar en ny anslutning påträffas.

Den innehåller följande inbyggda kedjor:

* '''PREROUTING''' — för att ändra paket så snart de kommer in
* '''INPUT''' — för att ändra paket som är avsedda för lokala sockets
* '''OUTPUT''' — för att ändra lokalt genererade paket före routning
* '''POSTROUTING''' — för att ändra paket precis innan de lämnar systemet

IPv6-NAT stöds sedan kärna 3.7.

=== mangle ===

Denna tabell används för specialiserad modifiering av paket.

Fram till kärna 2.4.17 hade den två inbyggda kedjor:

* '''PREROUTING'''
* '''OUTPUT'''

Sedan kärna 2.4.18 stöds även:

* '''INPUT'''
* '''FORWARD'''
* '''POSTROUTING'''

=== raw ===

Denna tabell används främst för att konfigurera undantag från anslutningsspårning tillsammans med målet '''NOTRACK'''.

Den registreras med högre prioritet i netfilter-hooks och anropas därför före ''ip_conntrack'' eller andra IP-tabeller.

Den innehåller:

* '''PREROUTING''' — för paket som anländer via valfritt nätverksgränssnitt
* '''OUTPUT''' — för paket som genereras av lokala processer

=== security ===

Denna tabell används för nätverksregler för Mandatory Access Control (MAC), till exempel sådana som aktiveras av målen '''SECMARK''' och '''CONNSECMARK'''.

MAC implementeras av Linux Security Modules som exempelvis SELinux.

''security''-tabellen anropas efter ''filter''-tabellen, så att eventuella DAC-regler i ''filter'' får verkan innan MAC-regler.

Den innehåller:

* '''INPUT'''
* '''OUTPUT'''
* '''FORWARD'''

== ALTERNATIV ==

Alternativen som känns igen av '''iptables''' och '''ip6tables''' kan delas in i flera grupper.

=== KOMMANDON ===

Dessa alternativ anger vilken åtgärd som ska utföras. Endast ett av dem får anges på kommandoraden, om inget annat uttryckligen sägs.

; '''-A''', '''--append''' ''kedja regelspecifikation''
: lägg till en eller flera regler sist i den valda kedjan. Om käll- och/eller destinationsnamn löses till mer än en adress läggs en regel till för varje möjlig adresskombination.

; '''-C''', '''--check''' ''kedja regelspecifikation''
: kontrollera om en regel som matchar specifikationen finns i den valda kedjan. Detta använder samma logik som '''-D''', men ändrar inte den befintliga konfigurationen. Returkoden anger om regeln hittades eller inte.

; '''-D''', '''--delete''' ''kedja regelspecifikation''
; '''-D''', '''--delete''' ''kedja regelnummer''
: radera en eller flera regler från den valda kedjan. Regeln kan anges antingen som ett regelnummer eller som en regelspecifikation att matcha mot.

; '''-I''', '''--insert''' ''kedja'' [''regelnummer''] ''regelspecifikation''
: infoga en eller flera regler i den valda kedjan vid angivet regelnummer. Om regelnummer är 1 infogas regeln först i kedjan. Detta är också standard om inget regelnummer anges.

; '''-R''', '''--replace''' ''kedja regelnummer regelspecifikation''
: ersätt en regel i den valda kedjan. Om källa och/eller destination löses till flera adresser misslyckas kommandot. Regler numreras från 1.

; '''-L''', '''--list''' [''kedja'']
: lista alla regler i den valda kedjan. Om ingen kedja väljs listas alla kedjor. Kommandot gäller den angivna tabellen; standard är ''filter''.

Exempel:
<pre>
iptables -t nat -n -L
</pre>

Det används ofta tillsammans med '''-n''' för att undvika långsamma omvända DNS-uppslagningar.

Det är tillåtet att även ange '''-Z''', så att kedjorna listas och nollställs atomiskt.

De exakta reglerna visas först när du använder:
<pre>
iptables -L -v
</pre>
eller [[iptables-save(8)]].

; '''-S''', '''--list-rules''' [''kedja'']
: skriv ut alla regler i den valda kedjan. Om ingen kedja väljs skrivs alla kedjor ut, på liknande sätt som ''iptables-save''.

; '''-F''', '''--flush''' [''kedja'']
: töm den valda kedjan, eller alla kedjor i tabellen om ingen anges. Detta motsvarar att ta bort alla regler en efter en.

; '''-Z''', '''--zero''' [''kedja'' [''regelnummer'']]
: nollställ paket- och byteräknare i alla kedjor, eller endast i angiven kedja, eller endast i angiven regel. Kan kombineras med '''-L''' för att visa räknarna precis innan de nollställs.

; '''-N''', '''--new-chain''' ''kedja''
: skapa en ny användardefinierad kedja med det angivna namnet. Det får inte redan finnas ett mål med det namnet.

; '''-X''', '''--delete-chain''' [''kedja'']
: radera den angivna kedjan. Det får inte finnas några referenser till kedjan. Kedjan måste också vara tom. Om inget argument anges raderas alla tomma kedjor i tabellen. Tomma inbyggda kedjor kan endast raderas med '''iptables-nft'''.

; '''-P''', '''--policy''' ''kedja mål''
: sätt policy för en inbyggd kedja. Policymålet måste vara antingen '''ACCEPT''' eller '''DROP'''.

; '''-E''', '''--rename-chain''' ''gammalt nytt''
: byt namn på en användardefinierad kedja. Detta är endast kosmetiskt och påverkar inte tabellens struktur.

; '''-h'''
: visa hjälptext

=== PARAMETRAR ===

Följande parametrar utgör en regelspecifikation.

; '''-4''', '''--ipv4'''
: har ingen effekt i ''iptables'' och ''iptables-restore''. Om en regel med '''-4''' används med ''ip6tables-restore'' ignoreras den tyst. Detta gör det möjligt att ha IPv4- och IPv6-regler i samma regelfil.

; '''-6''', '''--ipv6'''
: om en regel med '''-6''' används med ''iptables-restore'' ignoreras den tyst. I andra fall blir det fel. Detta gör det möjligt att ha IPv4- och IPv6-regler i samma fil. Har ingen effekt i ''ip6tables'' och ''ip6tables-restore''.

; ['''!'''] '''-p''', '''--protocol''' ''protokoll''
: protokollet som regeln eller paketet ska kontrolleras mot. Det kan vara '''tcp''', '''udp''', '''udplite''', '''icmp''', '''icmpv6''', '''esp''', '''ah''', '''sctp''', '''mh''', specialordet '''all''', ett numeriskt värde eller ett protokollnamn från ''/etc/protocols''. Ett '''!''' framför inverterar testet. Värdet 0 motsvarar '''all'''.

; ['''!'''] '''-s''', '''--source''' ''adress''['''/''' ''mask''][',''...'']
: källspecifikation. Adressen kan vara ett nätverksnamn, värdnamn, nätverksadress med mask eller en vanlig IP-adress. Värdnamn löses endast en gång innan regeln skickas till kärnan. Att använda namn som kräver fjärruppslagning, till exempel DNS, är en dålig idé. Masken kan vara en IPv4-nätmask eller ett tal som anger antal ettor från vänster. '''--src''' är ett alias. Flera adresser kan anges, men detta expanderar till flera regler vid '''-A'''.

; ['''!'''] '''-d''', '''--destination''' ''adress''['''/''' ''mask''][',''...'']
: destinationsspecifikation. '''--dst''' är ett alias.

; '''-m''', '''--match''' ''match''
: ange en matchningsmodul. Matchningarna utgör villkoren under vilka målet aktiveras. De utvärderas från vänster till höger och med kortslutningslogik.

; '''-j''', '''--jump''' ''mål''
: ange vilket mål som ska användas om paketet matchar regeln. Målet kan vara en användardefinierad kedja, ett inbyggt specialmål eller en utökning.

; '''-g''', '''--goto''' ''kedja''
: fortsätt bearbetningen i en användarspecificerad kedja. Till skillnad från '''--jump''' kommer '''RETURN''' inte att återuppta bearbetningen i denna kedja utan i kedjan som anropade den via '''--jump'''.

; ['''!'''] '''-i''', '''--in-interface''' ''namn''
: namnet på gränssnittet genom vilket paketet togs emot. Gäller bara för kedjorna '''INPUT''', '''FORWARD''' och '''PREROUTING'''. Om namnet slutar med '''+''' matchar alla gränssnitt som börjar med detta namn.

; ['''!'''] '''-o''', '''--out-interface''' ''namn''
: namnet på gränssnittet genom vilket paketet ska skickas ut. Gäller för kedjorna '''FORWARD''', '''OUTPUT''' och '''POSTROUTING'''. Om namnet slutar med '''+''' matchar alla gränssnitt som börjar med detta namn.

; ['''!'''] '''-f''', '''--fragment'''
: regeln gäller endast andra och senare IPv4-fragment av fragmenterade paket. Sådana paket kan inte matcha regler som specificerar portar eller ICMP-typ. Om '''!''' används gäller regeln endast första fragment eller ofragmenterade paket. Detta alternativ gäller endast IPv4.

; '''-c''', '''--set-counters''' ''paket byte''
: initiera paket- och byteräknarna för en regel vid '''INSERT''', '''APPEND''' eller '''REPLACE'''.

=== ANDRA ALTERNATIV ===

; '''-v''', '''--verbose'''
: utförlig utmatning. Visar gränssnittsnamn, regelalternativ, TOS-masker samt paket- och byteräknare. För listning visas suffixen ''K'', ''M'' eller ''G'' för 1000, 1 000 000 respektive 1 000 000 000, om inte '''-x''' används. Om alternativet anges flera gånger kan mer detaljerad felsökningsinformation visas.

; '''-V''', '''--version'''
: visa programmets version och den kärn-API-version som används

; '''-w''', '''--wait''' [''sekunder'']
: vänta på xtables-låset. Normalt avslutas programmet om låset inte kan tas. Med detta alternativ väntar det tills låset blir tillgängligt, antingen obegränsat eller så länge som anges.

; '''-n''', '''--numeric'''
: numerisk utmatning. IP-adresser och portnummer visas numeriskt istället för som värdnamn, nätverksnamn eller tjänstenamn.

; '''-x''', '''--exact'''
: visa exakta värden för paket- och byteräknare istället för avrundade värden.

; '''--line-numbers'''
: lägg till radnummer när regler listas

; '''--modprobe=''' ''kommando''
: använd det angivna kommandot för att ladda nödvändiga moduler

; '''--compat'''
: endast för nft-varianter. Lägg till kompatibilitetsdata till en regels ''userdata'' för att underlätta tolkning av äldre versioner.

Miljövariabeln '''XTABLES_COMPAT''' kan användas för att åsidosätta standardinställningen.

== LÅSFIL ==

iptables använder filen:

<pre>
/run/xtables.lock
</pre>

för att ta ett exklusivt lås vid start.

Miljövariabeln '''XTABLES_LOCKFILE''' kan användas för att ändra standardvärdet.

== MATCHNINGS- OCH MÅLUTÖKNINGAR ==

iptables kan använda utökade moduler för paketmatchning och mål.

En lista över dessa finns i manualsidan:

[[iptables-extensions(8)]]

== DIAGNOSTIK ==

Olika felmeddelanden skrivs till standard error.

Returkoder:

* '''0''' — korrekt funktion
* '''2''' — ogiltiga eller felaktigt använda kommandoradsparametrar
* '''3''' — inkompatibilitet mellan kärna och användarrymd
* '''4''' — resursproblem, till exempel upptaget lås, minnesallokeringsfel eller fel från kärnan
* '''1''' — andra fel

== BUGGAR ==

Buggar? Vad är det? ;-)

Du kan vilja titta på:
<pre>
https://bugzilla.netfilter.org/
</pre>

'''iptables''' avslutas omedelbart med felkod '''111''' om det upptäcker att det anropades som ett ''setuid-to-root''-program.

iptables kan inte användas säkert på detta sätt eftersom det litar på delade bibliotek (matchningar och mål) som laddas vid körning, och sökvägen kan styras via miljövariabler.

== KOMPATIBILITET MED IPCHAINS ==

Denna version av '''iptables''' liknar ''ipchains'' av Rusty Russell.

De viktigaste skillnaderna är:

* kedjorna '''INPUT''' och '''OUTPUT''' traverseras endast för paket som kommer in till respektive genereras från den lokala värden
* varje paket passerar därför normalt bara en av tre kedjor, förutom loopback-trafik
* '''-i''' syftar på inmatningsgränssnittet
* '''-o''' syftar på utmatningsgränssnittet
* båda kan användas för paket som går genom '''FORWARD'''

De olika formerna av NAT har separerats ut. Med standardtabellen '''filter''' fungerar '''iptables''' som en ren paketfiltermekanism med valfria utökningsmoduler.

Följande alternativ hanteras därför annorlunda:

<pre>
-j MASQ
-M -S
-M -L
</pre>

Det finns även flera andra ändringar i iptables.

== SE ÄVEN ==

* [[iptables-apply(8)]]
* [[iptables-save(8)]]
* [[iptables-restore(8)]]
* [[iptables-extensions(8)]]

Dokumenten:

* ''packet-filtering-HOWTO'' beskriver paketfiltrering med iptables
* ''NAT-HOWTO'' beskriver NAT
* ''netfilter-extensions-HOWTO'' beskriver utökningar som inte finns i standarddistributionen
* ''netfilter-hacking-HOWTO'' beskriver netfilters interna funktion

Se även:
<pre>
https://www.netfilter.org/
</pre>

== FÖRFATTARE ==

Rusty Russell skrev ursprungligen iptables, i tidig konsultation med Michael Neuling.

Marc Boucher fick Rusty att överge ''ipnatctl'' genom att argumentera för ett generiskt ramverk för paketurval i iptables. Han skrev sedan ''mangle''-tabellen, ''owner''-matchningen, mark-funktionaliteten och gjorde mycket annat.

James Morris skrev TOS-målet och ''tos''-matchningen.

Jozsef Kadlecsik skrev målet '''REJECT'''.

Harald Welte skrev målen '''ULOG''' och '''NFQUEUE''', det nya ''libiptc'', samt TTL-, DSCP- och ECN-matchningar och mål.

Netfilter Core Team består av:

* Jozsef Kadlecsik
* Pablo Neira Ayuso
* Eric Leblond
* Florian Westphal
* Arturo Borrero Gonzalez

Tidigare medlemmar i kärnteamet är:

* Marc Boucher
* Martin Josefsson
* Yasuyuki Kozakai
* James Morris
* Harald Welte
* Rusty Russell

Man-sidan skrevs ursprungligen av Herve Eychenne <rv@wallfire.org>.

== VERSION ==

Denna manualsida gäller för '''iptables/ip6tables 1.8.11'''.

== KOLOFON ==

Denna sida är en del av projektet ''iptables'' (administrera och underhålla paketfilterregler).

Information om projektet finns på:
<pre>
http://www.netfilter.org/
</pre>

Om du har en felrapport för denna manualsida, se:
<pre>
http://bugzilla.netfilter.org/
</pre>

Denna sida hämtades från projektets Git-arkiv:
<pre>
git://git.netfilter.org/iptables
</pre>

den '''2026-01-16'''. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet '''2025-11-27'''.

Om du upptäcker renderingsproblem i denna HTML-version av sidan, eller tror att det finns en bättre eller mer uppdaterad källa för sidan, eller om du har rättelser eller förbättringar till informationen i denna kolofon (som ''inte'' är en del av originalmanualsidan), skicka e-post till:

<pre>
man-pages@man7.org
</pre>

iptables(8) - Versionshistorik

Admin: /* KOLOFON */