नेटफिल्टर

नेटफिल्टर लिनक्स कर्नेल द्वारा प्रदान किया गया एक प्राधार है जो विभिन्न संगणक संजाल  से संबंधित संचालन को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर वेष्टक निस्यंदन, जालक्रम पता अनुवाद और  पत्तन अनुवाद के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो एक जालक्रम और अभिनिषेध वेष्टक के माध्यम से वेष्टक को एक जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने के लिए आवश्यक कार्यक्षमता प्रदान करता है।

नेटफिल्टर लिनक्स कर्नेल के भीतर अंकुश के एक समूह का प्रतिनिधित्व करता है, विशिष्ट कर्नेल मापांक को कर्नेल के जालक्रम चित्ति के साथ कॉलबैक (अभिकलित्र प्रोग्रामिंग) कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, को प्रत्येक उस वेष्टक के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।

इतिहास
रस्टी रसेल ने 1998 में नेटफिल्टर/आईपीतालिका्स परियोजना प्रारंभ किया; उन्होंने परियोजना के पूर्ववर्ती, आईपी ​​​​श्रृंखला को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर टीम (या बस कोरटेम) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) GNU जनरल पब्लिक लाइसेंस (GPL) लाइसेंस का उपयोग करता है, और मार्च 2000 में इसे संस्करण 2.4 में मिला दिया गया। लिनक्स कर्नेल मेनलाइन का x।

अगस्त 2003 में हेरोल्ड वेल्टे कोरटीम के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल का पालन किए बिना राउटर (कंप्यूटिंग) में परियोजना के सॉफ़्टवेयर अंतः स्थापित प्रणाली  को वितरित करने वालों पर परियोजना द्वारा कार्रवाई के बाद, जर्मनी की एक अदालत ने वेल्टे को साइटकॉम जर्मनी के विरुद्ध एक ऐतिहासिक निषेधाज्ञा दी, जिसने जीपीएल के नियमों का पालन करने से इनकार कर दिया। शर्तें (जीएनयू जनरल पब्लिक लाइसेंस#कानूनी स्थिति|जीपीएल से संबंधित विवाद देखें)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, को कोरटीम के नए अध्यक्ष के रूप में चुना गया।

आईपी तालिका से पहले, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी ​​​​श्रृंखला और लिनक्स कर्नेल 2.0.x में आईपीएफडब्ल्यूएडीएम थे, जो बदले में बर्कले सॉफ़्टवेयर वितरण के आईपीfirewall पर आधारित था। दोनों आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम कोड को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर की प्रारंभ तक एक सामान्य वेष्टक नियंत्रण ढांचे की कमी थी।

जबकि आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप प्रणाली आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।

2017 में आइपीवी4 और आइपीवी6 प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर फ्लो तालिका अग्रेषण और हार्डवेयर ऑफलोड सपत्तन में तीव्रता आई।

उपयोक्‍ता समष्टि उपयोगिता क्रमादेश
*

आईपी तालिका
कर्नेल मापांक नामित,  ,   (अधोरेखांकन नाम का भाग है), और   नेटफिल्टर अंकुश प्रणाली के लीगेसी वेष्टक निस्यंदन भाग को सम्मिलित करें। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण के माध्यम से प्रशासित किया जा सकता है  ,  ,  , और. ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक अलग कार्यक्षमता के साथ एक अलग इकाई है।

प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है, और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को कॉल कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।

नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें सम्मिलित हैं,    और. ये श्रृंखला टाइटल नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए, में पड़ता है, जब   स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है, और अग्रेषित परियात इसके अंतर्गत आता है   श्रृंखला। स्थानीय रूप से उत्पन्न आउटपुट से होकर गुजरता है    श्रृंखला, और भेजे जाने वाले वेष्टक भीतर हैं   श्रृंखला।

नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।


 * मापांक
 * लोड होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले कॉल किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को फ़िल्टर करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।


 * मापांक
 * संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे NAT या आगे निस्यंदन।


 * मापांक
 * दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पहले अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या nat ) जोआईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है, और किसी भी तरह के निस्यंदन के लिए अभिप्रेत नहीं है।


 * मापांक
 * निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।


 * मापांक
 * अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि द्वारा सक्षम  और   लक्ष्य। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स मार्करों को संदर्भित करते हैं।) अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे SEलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के कॉल के बाद सुरक्षा तालिका को कॉल किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी MAC नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित बिल्ट-इन श्रृंखला प्रदान करती है:   (अभिकलित्र में ही आने वाले वेष्टक के लिए),   (रूटिंग से पहले स्थानीय रूप से उत्पन्न वेष्टक को परिवर्तित करने के लिए), और   (अभिकलित्र के माध्यम से रूट किए जा रहे वेष्टकों को परिवर्तित करने के लिए)।

एनएफ tables
एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है।  नई उपयोक्‍ता समष्टि उपयोगिता है जो प्रतिस्थापित करती है ,  ,   और.

एनएफ तालिका कर्नेल इंजन लिनक्स कर्नेल में एक साधारण आभासी यन्त्र जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बायटेकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को जानबूझकर बुनियादी बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध मेटाडेटा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है, और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना ऑपरेटरों का उपयोग किया जा सकता है। अंतरापृष्ठ यन्त्र डेटा के समूह (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है। यह लीगेसी Xtables (आईपी तालिका, आदि) कोड के विपरीत है, जिसमें विज्ञप्ति जागरूकता कोड में इतनी गहराई से अंतर्निहित है कि इसे चार बार दोहराया जाना है—‌आइपीवी4, आइपीवी6, ARP और ईथरनेट ब्रिजिंग के लिए—‌क्योंकि सुरक्षा भित्ति इंजन सामान्य तरीके से उपयोग किए जाने के लिए बहुत अधिक विज्ञप्ति-विशिष्ट हैं। मुख्य लाभ खत्म  लिनक्स कर्नेल अनुप्रयोग बाइनरी इंटरफ़ेस का सरलीकरण, डुप्लिकेट कोड में कमी, त्रुटि संदेश में सुधार, और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों में एटोमिकिटी_(डेटाबेस_प्रणाली) परिवर्तन हैं।

वेष्टक डीफ़्रेग्मेंटेशन
ई> मापांक आइपीवी4 वेष्टक्स को नेटफिल्टर के संयोजन अनुसरण (  मापांक)। यह इन-कर्नेल संयोजन अनुसरण और एनएटी हेल्पर मापांक (जो मिनी- आवेदन स्तर का प्रवेश द्वार  का एक रूप है) के लिए आवश्यक है जो केवल पूरे वेष्टक पर मज़बूती से काम करते हैं, ज़रूरी नहीं कि फ़्रैगमेंट पर भी।

आइपीवी6 डीफ़्रेग्मेंटर अपने आप में एक मापांक नहीं है, बल्कि इसमें एकीकृत है   मापांक।

संयोजन अनुसरण
संयोजन अनुसरण नेटफिल्टर ढांचे के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक है। संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजन या सत्र (अभिकलित्र विज्ञान) का ट्रैक रखने की अनुमति देती है, और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। NAT इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस जानकारी पर निर्भर करता है, और  स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए इस जानकारी का उपयोग कर सकते हैं।

संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के राज्य से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी का राज्य। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, यानी कोई स्थानीय वितरण नहीं होता है, तो टीसीपी इंजन को जरूरी नहीं लगाया जा सकता है। यहां तक ​​कि उपयोगकर्ता डाटाग्राम विज्ञप्ति, आईपीसेक (एएच/ईएसपी), जेनेरिक रूटिंग इनकैप्सुलेशन और अन्य टनलिंग विज्ञप्ति जैसे संयोजन रहित-मोड प्रसारण में कम से कम एक छद्म संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित टाइमआउट मान पर आधारित होता है, जिसकी समाप्ति के बाद नेटफिल्टर संयोजन हटा दिया जाता है।

प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (लेयर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, लेयर-4 विज्ञप्ति, लेयर-4 की) टपल द्वारा पहचाना जाता है। परत-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टक को अनिवार्य रूप से डी-खंडित किया जाएगा।

नेटफिल्टर संयोजन को उपयोक्ता समष्टि टूल के साथ जोड़-तोड़ किया जा सकता है.

वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे राज्यों, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम राज्य हैं:
 * : एक नया संयोजन बनाने की कोशिश कर रहा है
 * : पहले से मौजूद संयोजन का भाग
 * : एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और जिसकी अपेक्षा की गई है; उपरोक्त मिनी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब   मापांक एक संचिका अंतरण विज्ञप्ति देखता है आज्ञा
 * : वेष्टक को अमान्य वेष्टक पाया गया, उदा। यह टीसीपी संयोजन आरेख का पालन नहीं करेगा
 * : एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को बायपास करने के लिए व्यवस्थापक द्वारा निर्दिष्ट की जा सकती है (ऊपर कच्ची तालिका देखें)।

एक सामान्य उदाहरण यह होगा कि कनट्रैक उप प्रणाली जो पहला वेष्टक देखता है उसे नया वर्गीकृत किया जाएगा, उत्तर को वर्गीकृत किया जाएगा और एक इंटरनेट नियंत्रण संदेश विज्ञप्ति त्रुटि संबंधित होगी। एक ICMP त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह अमान्य होगा।

संयोजन अनुसरण सहायक
प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-लेयर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, फाइल ट्रांसफर विज्ञप्ति विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब   मापांक लोड किया गया है, तो FTP डेटा संयोजन के पहले वेष्टक को नए के बजाय संबंधित के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से मौजूदा संयोजन का भाग है।

सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण जानकारी दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से पैटर्न को पहचान नहीं पाएगा और इसलिए अपना ऑपरेशन नहीं करेगा। IP विखंडन को डीफ़्रेग्मेंटेशन की आवश्यकता वाले संयोजन अनुसरण उप प्रणाली से निपटा जाता है, हालाँकि TCP विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी के मामले में, सेगमेंटेशन को समादेश जैसे समादेश के पास नहीं माना जाता है  मानक खंड आकार के साथ, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।

जालक्रम पता अनुवाद
प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही प्रारंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को बदलकर और जहां वांछित हो, पत्तन को बदलकर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना रिप्लाई पता पेयर (और पत्तन्स) से भी की जाएगी। NAT के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा रीफ्रैगमेंट किया जा सकता है।)

एनएटी सहायक
संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।

अग्रसर नेटफिल्टर परियोजनाएं
हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करता है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करता है।

कनेक्टट्रैक-साधन
लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में   डेमॉन और समादेश पंक्ति अंतरापृष्ठ   सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन   का उपयोग उच्च उपलब्धता समूह-आधारित राजकीय सुरक्षा भित्ति को सक्षम करने और राजकीय सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ   अप्रचलित   की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।

आईपीसमूह
संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत,  कोर नेटफिल्टर सांकेतिक अंक की तुलना में   से अधिक संबंधित है। उदाहरण के लिए,   नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक   मापांक प्रदान करता है।

नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित  नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए)   में प्रदान किए जाते हैं।

एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई  नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।

लक्ष्य ऐसे स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़ी एसवाईएन बहुतायत से निपटना संभव बनाता है।  लक्ष्य के लिए प्रारंभिक   अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम   स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरण को मुक्त कर देते हैं। इस तरह, विशाल   बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।

3 नवंबर 2013 को, लिनक्स कर्नेल प्रमुख मार्ग के संस्करण 3.12 के विमोचन के साथ,   प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।

यूलॉगड
नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है।  वेष्टको को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टक या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचना का आदान-प्रदान करने के लिए   के साथ अंत:क्रिया कर सकता है।

उपयोक्‍ता समष्टि पुस्तकालय
नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में   होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
 * आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है;  पर आधारित है।
 * आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है;  पर आधारित है।


 * उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है;  पर आधारित है।
 * उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है;  पर आधारित है।


 * आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है;   पर आधारित है।
 * आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है;   पर आधारित है।


 * पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है;  परियोजना का भाग है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करता है; यह किसी   पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   उपयोगिताओं द्वारा उपयोग किया जाता है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करता है; यह किसी   पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   उपयोगिताओं द्वारा उपयोग किया जाता है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करता है; यह किसी   पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   उपयोगिताओं द्वारा उपयोग किया जाता है।


 * आईपी समूह पर संचालन की अनुमति प्रदान करता है;  पर आधारित है।
 * आईपी समूह पर संचालन की अनुमति प्रदान करता है;  पर आधारित है।

नेटफिल्टर वर्कशॉप
नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।

यह भी देखें

 * बर्कले वेष्टक निस्यंदन
 * जेनीटेक बनाम मैकहार्डी (2018) अभियोग
 * आईपी वास्तविक परिवेषक (आईपीवीएस, एलवीएस का भाग)
 * आईपी ​​​​श्रृंखला, आईपी तालिका के पूर्ववर्ती
 * आईपी ​एफडब्ल्यू
 * लिनक्स वास्तविक परिवेषक (एलवीएस)
 * नेटलिंक, नेटफिल्टर विस्तारण द्वारा उपयोग किया जाने वाला एपीआई
 * जालक्रम अनुसूचक, जालक्रम चित्ति का एक अन्य निम्न-स्तरीय घटक
 * एनपीएफ (सुरक्षा भित्ति)
 * पीएफ (सुरक्षा भित्ति)
 * सरल सुरक्षा भित्ति

बाहरी संबंध

 * conntrack-tools homepage
 * आईपी समूह homepage
 * यूलॉगड homepage
 * Home of the Netनिस्यंदन Workshop websites
 * "Writing Netनिस्यंदन Modules" (e-book; 2009)
 * "Netनिस्यंदन and आईपी तालिका &mdash; Stateful Firewalling for लिनक्स" (11 October 2001)
 * Network overview by Rami Rosen
 * Network overview by Rami Rosen