Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables, quá trình kiểm tra được thực hiện một cách tuần tự dùng các bảng xây dựng sẵn (queues).
Có ba loại bảng trong Iptables gồm:
Loại
Queue Chức năng Queue gói (Chain)Quy tắc xử lý Chức năng của chain
Filter Lọc gói
Input Lọc gói đi đến firewall Forward
Lọc gói dữ liệu đi đến các server khác kết nối trên các NIC khác của firewall
Output Lọc gói đi ra khỏi firewall
NAT Network Address Translation ( Biên dịch địa chỉ mạng ) Prerouting
Việc thay đổi địa chỉ diễn ra trước khi định tuyến. Thay đổi địa chỉ đích sẽ giúp gói dữ liệu phù hợp với bảng định tuyến của firewall. Sử dụng destination NAT hay DNAT
Postrouting
Việc thay đổi địa chỉ diễn ra sau khi định tuyến. Sử dụng source NAT hay SNAT Output NAT sử dụng cho các gói
dữ liệu xuất phát từ firewall. Mangle Chỉnh sửa TCP header. Prerouting Postrouting Output Input Forward
Điều chỉnh các bit quy địch chất lượng dịch vụ trước khi dẫn đường.
Bảng 2-1 Bảng các chức năng của queue và chain
Mangle table: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như: TOS (type of service), TTL (time to live), và MARK.
Filter queue: Chịu trách nhiệm thiết lập bộ lọc (packet filtering). Nó gồm có ba quy tắc nhỏ (chain) để thiết lập các nguyên tắc lọc gói, bao gồm:
Forward chain: Lọc gói khi đi đến đến các server khác. Input chain: Lọc gói khi đi vào trong server.
Output chain: Lọc gói khi ra khỏi server.
NAT queue: Thực hiện chức năng NAT (Network Address Translation) gồm có
hai loại:
Pre-routing chain: NAT từ ngoài vào trong nội bộ. Quá trình NAT sẽ thực hiện trước khi thực thi cơ chế định tuyến (routing). Điều này thuận lợi cho việc đổi địa chỉ đích để địa chỉ tương thích với bảng định tuyến của firewall, được gọi là NAT đích destination NAT hay DNAT
Post-routing chain: NAT từ trong ra ngoài. Quá trình NAT sẽ thực hiện sau khi thực hiện cơ chế định tuyến, quá trình này nhằm thay đổi địa chỉ nguồn của gói tin. Kỹ thuật này được gọi là NAT one-to-one hoặc many-to-one, được gọi là Source NAT hay SNAT.