Ein Paketfilter, der IP-Pakete aufgrund der gesetzten Regeln nach Kriterien wie Interface, IP-Adresse, TCP/UDP-Port usw. zurückweist, ignoriert bzw. annimmt.
Dabei gibt es in den 2.2er Kerneln drei Stellen:
Input, forward und output. An allen kann man Regeln ansetzen. So wird man in der input queue gefälschte IP-Pakete herausfiltern, in der forward queue das Masquerading einstellen und in der output queue Beschränkungen bzgl. Zielrechner vornehmen.