La tecnología de firewall de Linux ha evolucionado desde sencillos filtros de paquetes lineales hasta los motores actuales de inspección de paquetes de estado. Los núcleos de Linux 2.0 emplean una implementación de reglas de filtrado de paquetes que utilizan tres pilas: INPUT (paquetes de entrada desde la red), OUTPUT (paquetes que entran en la red) y FORWARD (paquetes que requieren el enrutamiento a otro host). Los paquetes llegan a la parte superior de las pilas y se filtran a través de las reglas hasta que existe una coincidencia. En este punto, cada paquete se puede descartar, rechazar o reenviar. Si el paquete no coincide con ninguna de las reglas, pasa a la directiva predeterminada, que normalmente descarta el paquete.

Aunque la capacidad nativa de firewall de los núcleos de Linux 2.0 era más que adecuada para generar firewalls, en la siguiente versión del núcleo 2.2 apareció Ipchains que incorporó nuevas y eficaces características:

• Permite la definición de nuevas pilas. Mientras que en la versión 2.0 sólo existían tres pilas de filtrado, Ipchains permite a los usuarios definir sus propias pilas (o cadenas). En este momento, un administrador puede exigir que los paquetes designados “saltenâ€� a una cadena de reglas diseñadas específicamente con este propósito, en lugar de sobrecargar las cadenas estándar INPUT, OUTPUT y FORWARD. Por ejemplo, los paquetes SSH, que requieren especial atención, pueden controlarse rápidamente mediante una cadena “SSHâ€� definida por el usuario, en lugar de utilizar una gran cantidad de reglas INPUT o FORWARD. De esta forma Ipchains no sólo permite un flujo de reglas más eficaz, sino que también facilita el trabajo de administrar diseños complejos de firewall.
• Mejor administración de las reglas de una pila. Antes el usuario sólo podía agregar a la parte superior o inferior de la pila de reglas. Ipchains presentó la “numeración de reglasâ€�, lo que permitía que se pudiera manipular directamente cualquier regla, de cualquier cadena.

Ipchains tenía dos ventajas principales:

• La primera era la capacidad de filtrar explícitamente cualquier protocolo, no sólo TCP, UDP e ICMP.
• La segunda era que los programadores agregaban la capacidad de utilizar la negación en la mayoría de las instrucciones de reglas. Por ejemplo, se podía implementar la regla “DENY todos los paquetes OUTGOING que DO NOT se originen desde dentro de la redâ€�.

A partir del desarrollo del núcleo 2.3, los programadores de Linux comenzaron a trabajar en Iptables (también llamado netfilter). Iptables mejoró las ventajas de administración de conjuntos de reglas al permitir la capacidad de crear y anular asociaciones de conjunto de reglas con sesiones existentes. Con Iptables, el firewall se puede programar para asociar el tráfico devuelto generado a partir de una regla INPUT anterior. El tráfico que entra correctamente en el host puede salir automáticamente del host al ser devuelto, indicando simplemente al firewall que genere dinámicamente una regla de devolución. Las ventajas de la tecnología de inspección de paquetes de estado (SPI, State Packet Inspection) no se limitan a la eficacia de las reglas. Ipchains no permite diferenciar la “verdadera naturaleza� del tráfico de la red. Por ejemplo, un firewall Ipchains programado para permitir el tráfico FTP de salida también tendrá una regla INPUT asociada para permitir la devolución de paquetes. Si un atacante puede fabricar paquetes FTP devueltos, Ipchains permite su entrada. Con SPI no existe ninguna sesión para asociar estos paquetes falsificados y, por tanto, el firewall los rechazaría.

Los programadores de Iptables también han optimizado la arquitectura básica de control de paquetes del código de firewall. En Ipchains, un paquete enrutado a otro sistema necesitaría reglas en las cadenas INPUT, FORWARD y OUTPUT. Con Iptables, las cadenas INPUT y OUTPUT sólo se aplicarían al encabezado de los paquetes para entrar y salir del host. Únicamente la cadena FORWARD controla cualquier paquete que requiera ser reenviado. Esto reduce considerablemente el número de reglas, en comparación con Ipchains.