Au début était ipchains, un module de filtrage de paquets apparu dans les noyaux Linux 2.1. Très rapidement, il a montré ses limites conceptuelles et a laissé la place au couple Netfilter/Iptables à partir du noyau 2.4, Iptables pouvant être présenté comme la face avant de Netfilter, et qui est dorénavant remplacé par Nftables qui dans le même temps fait évoluer Netfilter, toujours en dessous.

Commençons par étudier l'architecture générale de Netfilter.