Die klassische Paketfilterung entscheidet über den Verbleib der Pakete an sich. Sie verändert jedoch nicht deren Inhalte. Mitunter setzen Paketfilter fragmentierte Paketen wieder zusammen, der Inhalt ändert sich jedoch nicht. Unter Linux sind jedoch Masquerading und transparente Proxies sehr nahe an der Paketfilterung implementiert und werden mit den selben Werkzeugen konfiguriert, so daß beide ebenfalls hier unter dem Begriff Paketfilterung zusammengefaßt und in diesem Kapitel beschrieben werden.
Die Paketfilterung unter Linux erfolgt bereits im Kernel selbst. Im Vergleich zu Softwarepaketen, die oberhalb des Kernels arbeiten und als eigenständige Prozesse laufen, die ihrerseits wiederum mit dem Kernel kommunizieren müssen, ist das von Vorteil. Einem potentiellen Angreifer bieten sich dadurch weniger Möglichkeiten zur Manipulation. Firewallsoftware, die oberhalb der Betriebsystemebene als normales Programm läuft, kann noch so sicher implementiert sein. Wenn das Betriebssystem selbst bereits Mängel und Sicherheitslücken aufweist, bleibt es angreifbar.
Ein Nachteil ist sicherlich, daß eine in den Kernel integrierte Lösung schwerlich auf andere Betriebssysteme portiert werden kann, ist sicherlich verschmerzbar, da Linux als freies System erhältlich ist.
Um mit Linux Pakete filtern zu können, benötigt man zwei Dinge:
Weitere Informationen zu ipchains findet man in [4].