فایروال ها اغلب ، پیامهای پروتکل کنترل پیام اینترنت ( ICMP ) خاص را مسدود می کنند. ICMP پیامها را تغییر مسیر می دهد و به طور منفرد می توانند وظایف مسیر یابی شما را کنترل نمایند. هر چند نیاز دارید تا بعضی از پیامهای ICMP فعال کنید. مثل پیامهای مورد نیاز برای ping ، traceroute و به طور خاص عملیات غیر قابل دسترسی مقصد در بیشتر حالات نیاز دارید. تا مطمئن شوید که بسته های غیر قابل دسترسی مقصد، مجاز هستند. در غیر اینصورت پرس جو های نام دامنه ممکن است با مشکل روبرو شود. بعضی از رایجترین انواع بسته های ICMP در جدول 6 لیست شده اند. می توانید با عمل --icmp-type یک نوع بسته ICMP از بسته را فعال کنید که یک عدد یا یک نام را که بیان کننده پیام است، به عنوان آرگومانش می گیرد. مثالهای زیر ، استفاده از پیامهای echo-reply ، echo-request و destination-unreachable را فعال می کند که دارای شماره های 0 ، 8 و 3 می باشند.

با iptables ، زنجیرهای FORWARD و INPUT به طور مجزا ارزیابی می شوند. هیچ یک در دیگری تغذیه نمی گردد. این بدین معناست که اگر بخواهید به طور کامل ، انتقال آدرسهای خاصی از سیستم خود را مسدود کنید ، باید هر دو قانون FORWARD و INPUT را برای آنها اضافه نمایید.

دو هدف داخلی ، یعنی DROP و ACCEPT وجود دارد. دیگر هدفها می توانند زنجیر های تعریف شده توسط کاربر یا الحاقات اضافه شده مثل REJECT باشند. دو هدف خاص برای مدیریت زنجیر ها استفاده می شود. RETURN و QUEUE. RETURN انتهای یک زنجیر را نشان می دهد و به جایی بر می گردد که زنجیر از آنجا شروع شده است. QUEUE برای ارسال بسته به فضای کاربر استفاده می شود. 

iptables طراحی شده تا بسط پذیر باشد و تعدادی سوئیچ با شرط انتخابی وجود دارد که می تواند به همراه iptables باشد. به عنوان مثال ، الحاق TCP شامل سوئیچ --syn است که بسته های SYN را بررسی می کند. الحاق ICMP ، سوئیچ --icmp-type را برای مشخص کردن بسته های ICMP ( آن طور که در عملیات ping استفاده می شد ) فراهم می نماید. الحاق limit شامل سوئیچ --limit است که با آن می توانید حداکثر تعداد بسته ها را مورد تطابق در طول زمان مشخص ( مثلا یک ثانیه ) را محدود کنید.

قوانین زنجیر را با استفاده از دستورات iptables ، اضافه و اصلاح می کنید. یک دستور iptables ، شامل لغت کلیدی iptables است که با یک آرگومان دنبال می شود و دستور مورد اجرا را مشخص می نماید. به عنوان مثال، iptables -A دستوری برای اضافه کردن یک قانون جدید است ، در حالی که iptables -D ، دستوری برای خذف یک قانون می باشد ، دستورات iptables  در جدول 4 لیست شده اند. دستور زیر به سادگی زنجیر ها را به همراه قوانین فعلی آنها که برای سیستم شما تعریف شده اند لیست می کند. خروجی ، مقادیر پیش فرض ایجاد شده توسط دستورات iptables را نشان می دهد. 

کرنل از سه زنجیر فایروال استفاده می کند : INPUT ، OUTPUT و FORWARD . وقتی که یک بسته از طریق یک رابط دریافت می شود ، زنجیر INPUT برای تعیین اینکه چه کاری انجام شود ، استفاده می گردد. سپس کرنل از اطلاعات مسیریابی برای تصمیم به اینکه آن را کجا بفرستد ، استفاده می کند. اگر کرنل ، بسته را به میزبان دیگری بفرستد، زنجیر FORWARD بررسی می گردد. قبل از اینکه بسته حقیقتاً ارسال شود ، زنجیر OUTPUT نیز بررسی می گردد. به علاوه ، دو زنجیر جدول NAT ، یعنی POSTROUTING و PREROUTING پیاده سازی می شوند تا ماسک و اصلاحات آدرس بسته بندی را پیاده سازی کنند. زنجیر های داخلی Netfilter در جدول زیر لیست شده اند.

یک هدف ( Target ) خودش می تواند زنجیر دیگری از قوانین یا حتی زنجیری از قوانین تعریف شده توسط کاربر باشد. یک بسته می تواند قبل از رسیدن به یک هدف ، از طریق چند زنجیر انتقال یابد. در مورد زنجیر های تعریف شده توسط کاربر ، هدف پیش فرض ، معمولاً قانون بعدی در زنجیر می باشد که از آنجا فراخوانی شده است. این کار یک فراخوانی رویه با تابع را باعث می شود.  مثل جریان کنترل موجود در زبان برنامه نویسی. وقتی که یک قانون ، یک زنجیر تعریف شده توسط کاربر را به عنوان هدفش داشته باشد ، هنگامی که فعال شود ، آن زنجیر تعریف شده توسط کاربر اجرا می گردد. اگر با هیچ قانونی مطابقت نکند ، اجرا به قانون بعدی در زنجیر منشأ بر می گردد.

قوانین در زنجیر های مختلف ترکیب می شوند. کرنل از زنجیرها برای مدیریت بسته هایی که دریافت می کند و می فرستد ، استفاده می نماید. یک زنجیر ، به طور ساده یک فهرست از قوانین است. این قوانین ، مشخص می کنند که چه عملی برای بسته هایی که شامل عناوین خاص می باشند ، انجام گیرد. قوانین با یک ساختار if-then-else عمل می کنند. اگر بسته با قانون اول مطابقت نکرد ، سپس قانون بعدی بررسی می شود و همین طور الی آخر. اگر بسته با هیچکدام از قوانین مطابقت نداشت ، کرنل با خط مشی زنجیر مشورت می کند. معمولا در این مرحله بسته رو می شود. اگر بسته ، با یک قانون مطابقت نداشته باشد ، به هدفش انتقال می یابد که تعیین می کندبا بسته چه کاری انجام دهد. هدفهای استاندارد ، در جدول 2 لیست شده اند. اگر یک بسته ، با هیچکدام از این قوانین مطابقت نداشت ، به هدف پیش فرض زنجیر فرستاده می شود.

Netfilter اکنون سه جدول را پشتیبانی می کند : filter ، nat و mangle. فیلتر کردن بسته با استفاده از یک جدول filter پیاده سازی می شود که قوانینی برای قبول یا رد بسته ها را نگه می دارد. عملیات ترجمه آدرس شبکه ، مثل IP ماسک ، با استفاده از جدول NAT پیاده سازی می شوند که قوانین ماسک IP را نگه می دارد.

Netfilter ، وظایف فیلتر کردن بسته و NAT را با استفاده از جداول و دستورات مختلف به طور مجزا پیاده سازی می کند. یک جدول ، مجموعه ای از دستورات را برای برنامه کاربردی خود ، نگه می دارد. این روش ، وظیفه فیلتر کردن بسته را ساده می کند و به iptables اجازه می دهد تا بررسیهای فیلتر کردن بسته را بدون کار اضافی ترجمه های آدرس انجام دهد.