A estrutura lógica do Netfilter/Iptables é composta de tabelas, que são parte do Netfilter, ou seja, existem no kernel do Linux. Cadeias ou chains são a subdivisão lógica das tabelas, para melhor tratamento das regras de firewall.

4.1 Tabelas

As tabelas são parte da divisão do Netfilter onde as regras do Iptables são colocadas. Elas são utilizadas de acordo com a utilização do computador: workstation, gateway ou router, por exemplo.

No Netfilter atualmente existem três tabelas:

filter	Tabela padrão. Contém três cadeias básicas: INPUT, FORWARD e OUTPUT;
nat	Tabela para pacotes que queiram criar uma nova conexão, utilizada em um computador funcionando como gateway ou roteador. Tem as cadeias PREROUTING, OUTPUT e POSTROUTING;
mangle	Tabela utilizada para alterações nos pacotes. Desde o kernel 2.4.18 tem as cadeias PREROUTING, OUTPUT, INPUT, FORWARD e POSTROUTING.

4.2. Cadeias

No Netfilter/Iptables existe o conceito de cadeias ou "chains". Essas cadeias nada mais são que a divisão das regras do iptables em conjuntos mais lógicos, para melhorar o entendimento de como o Netfilter processa os pacotes. Este conceito foi implementado já no Ipchains, mas foi melhorado no iptables.

No iptables existem as seguintes cadeias:

INPUT	Utilizada em pacotes que estão chegando ao host
FORWARD	Utilizada para pacotes roteados pelo host
OUTPUT	Utilizada para pacotes originados no host
PREROUTING	Utilizada para alterar pacotes que estão chegando ao host
POSTROUTING	Utilizada para alterar pacotes que estão saindo do host

4.3. Regras

As regras são constituídas de um conjunto de classificadores e uma ação, política de firewall. Um pacote ao se deparar com uma regra é testado com os classificadores, se ele passar é definida uma ação ou política para aquele pacote, se ele não passar é comparado à próxima regra chegando até a regra padrão da cadeia em que ele se encontra.