Цепочка input:

Это - первая firewall цепочка, проверяющая пакет. Если цепочки на приняла решение об отбрасывании(DENY) или отклонении(REJECT) пакета, пакет идет дальше.

Демаскарадинг(Demasquerade):

Если пакет является ответом на замаскараденный пакет, он демаскарадируется, и перебрасывается прямо на цепочку output. Если вы не используете IP маскарадинг, то можете мысленно стереть это место в диаграмме.

Решение о маршрутизации:

Поле адреса назначения исследуется кодом маршрутизации, чтобы решить, не направлен ли этот пакет локальному процессу (см. "Локальный процесс" ниже) или послан удаленной машине (см. "цепочку forward" ниже).

Локальный процесс:

процесс, выполняющийся на машине может получать пакеты после шага "Решение о маршрутизации", и может отправлять пакеты (которые проходят шаг "Решения о маршрутизации" и затем пересекают цепочку output).

Интерфейс lo:

Если пакеты из локального процесса предназначены локальному процессу, они пройдут цепочку output с интерфейсом, установленным в "lo", и возвратятся через входную цепочку с интерфейсом тоже "lo". Интерфейс lo обычно называется петлевым интерфейсом (loopback).

Локальный(local):

Если пакет не был создан локальным процессом, то цепочка forward проверяет его, иначе пакет идет на цепочку output.

Цепочка forward:

Эту цепочку проходят любые пакеты, которые пытаются уйти на другую машину.

Цепочка output:

Эта цепочка проверяет все пакеты прежде, чем выпустить их наружу.