O Netfilter e o iptables são um só, mas Netfilter é relacionada à parte do kernel que trata as conexões IP com as interfaces de rede e Iptables refere-se à estrutura de tabelas e a definição de regras de filtragem de pacotes, tratadas pelo Netfilter no kernel do Linux.

Estabelecendo esta divisão entre parte do kernel e parte do usuário, as regras do firewall Netfilter/Iptables conseguem ser de mais fácil implementação. Como o tratamento de conexões passa pelo kernel do Linux, com esta separação, a cada nova solicitação de regra de firewall não é necessário habilitar novo módulo ou até mesmo recompilar o kernel, bastando somente atualizar o arquivo com as regras desejadas.

Quando os pacotes vindo da rede (Internet) chegam ao host, eles passam pela cadeia PREROUTING, onde são encaminhados para o roteamento do kernel. No roteamento interno do kernel, os pacotes podem ir para INPUT, seguindo para o processamento local, ou podem ir para FORWARD, onde são encaminhados para POSTROUTING, saindo em seguida para a rede (Internet).

Os pacotes que são gerados localmente vão para a cadeia OUTPUT, onde são encaminhados para POSTROUTING, saindo em seguida para a rede (Internet).

Essas duas seqüências de passos dos pacotes no Netfilter são mostradas na figura abaixo.