Potrebujete kernel ktory ma v sebe infrastrukturu netfiltra: je to cast linuxoveho jadra kde sa vkladaju dalsie moduly, ako napriklad iptables. Znamena to ze potrebujete jadro minimalne 2.3.15 alebo novsie skompilovane z moznostou CONFIG_NETFILTER=Y. Iptables ako take len vysvetli kernelu ktore pakety ma filtrovat.

Iptables je robustny nastroj nahradzujuci ipchains/ipfwadm. Iptables pridava a odobera pravidla z tabulky paketoveho filtra jadra. V praxi to znamena ze pokial stroj restartnete o vsetko, co ste nastavili ste prisli. Aby sa tomu zabranilo pouzivaju sa skripty iptables-save a iptables-restore. Da sa to vyriesit aj nejakym startovacim skriptom ale racej sa ubezpecte ze ak niektory z prikazov zlyha mate este moznost sa prihlasit ( nieco typu `exec /sbin/sulogin')

Vyhody: rychly, lacny, maly a vykonny :)

Nevyhody: kontroluje hlavicku paketu a jeho parametre, nie je to content filter ako napr. snort, hlavicky sa daju modifikovat, pri velkych sietach zacinaju byt neprehladne.