Uzivatelske chainy:

Je to jeden z najsilnejsich rozdielov iptablov oproti ipchainom. Existujuce konvencie pouzivaju nazvy pre uzivatelske chainy s malymi pismenami aby boli odlisitelne od zabudovanych.

Ak paket vyhovuje matchu ktoreho targetom je uzivatelsky chain nasleduje pravidla v uzivatelsky definovanej chaine. Ak paket nekonci matchom na tomto chaine, pokracuje na dalsie pravidlo zabudovaneho chainu.

                               tu zacina
                                  |
                                  v    __________________________
           `INPUT'                |   /    `test'                v
          ------------------------|--/    -----------------------|----
          | Rule1:-p ICMP -j DROP | /|    | Rule1:-s 192.168.1.1 |   |
          |-----------------------|/-|    |----------------------|---|
          | Rule2:-p TCP -j test  /  |    | Rule2:-d 192.168.1.1 |   |
          |--------------------------|    -----------------------v----
          | Rule3:-p UDP -j DROP  /--+___________________________/
          ------------------------|---
                                  v
                                  |
                               tu konci

TCP paket, ktory ide zo 192.168.1.1 na 1.2.3.4 vlezie na INPUT chain pricom nevyhovie Rule1 tak pokracuje na Rule2, ktory ho posle na uzivatelsky chain test pretoze vyhovie pravidlu (je to TCP paket), kde Rule1 vyhovuje ale nespecifikuje target :), pokracuje na Rule2 ktoremu nevyhovuje, tak konci v chaine test a ide naspat do INPUT kde prave presiel Rule2 a v Rule3 nevyhovuje tiez tak je pusteny :). Uzivatelske chainy mozu -j na dalsie uzivatelske chainy ale nerobte slucky, lebo pakety budu DROPnute ak zacnu loopovat.