नेटफिल्टर

नेटफिल्टर लिनक्स कर्नेल द्वारा प्रदान किया गया एक प्राधार है जो विभिन्न जालक्रमण से संबंधित कार्यों को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर वेष्टक निस्यंदन, जालक्रम पता अनुवाद और पत्तन अनुवाद के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो जालक्रम  के माध्यम से वेष्टकों को निर्देशित करने और वेष्टकों को जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने से रोकने के लिए आवश्यक कार्यक्षमता प्रदान करता है।

नेटफिल्टर लिनक्स कर्नेल के भीतर अंकुश के एक समूह का प्रतिनिधित्व करता है, विशिष्ट कर्नेल मापांक को कर्नेल के जालक्रम चित्ति के साथ पुनः साक्षात्कार कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, प्रत्येक वेष्टकों के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।

इतिहास
रस्टी रसेल ने 1998 में, नेटफिल्टर/आईपीतालिका परियोजनाओं प्रारंभ को किया; उन्होंने परियोजना के पूर्ववर्ती, आईपी ​​​​श्रृंखला को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर समूह (या केवल कोर समूह) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) जीएनयू सामान्य जनता अनुज्ञापत्र (GPL) का उपयोग करता है और मार्च 2000 में इसे लिनक्स कर्नेल प्रमुख पंक्ति के संस्करण 2.4.x में मिला दिया गया।

अगस्त 2003 में हेरोल्ड वेल्टे कोर समूह के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल के अनुपालन के बिना अनुर्मागक में अंतःस्थापित परियोजना के सॉफ़्टवेयर को वितरित करने वालों पर परियोजना द्वारा कड़ी कर्रवाई के पश्चात, एक जर्मन अदालत ने वेल्टे को साइटकॉम जर्मनी के विरुद्ध एक ऐतिहासिक निषेधाज्ञा दी, जिसने जीपीएल के नियमों का पालन करने से अस्वीकृत कर दिया (देखें जीपीएल- संबंधित विवाद)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, जिनको कोरसमूह के नए अध्यक्ष के रूप में चुना गया था।

आईपी तालिका से पूर्व, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी ​​​​श्रृंखला और लिनक्स कर्नेल 2.0.x में आईपीएफडब्ल्यूएडीएम थे, जो बदले में बीएसडी के आईपीएफडब्ल्यू पर आधारित थे। दोनों आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम सांकेतिक अंक को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर के प्रारंभ तक एक सामान्य वेष्टक नियंत्रण प्राधार की कमी थी।

जबकि आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप-प्रणाली आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।

2017 में आइपीवी4 और आइपीवी6 प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर प्रवाह तालिका अग्रेषण और हार्डवेयर ऑफलोड समर्थन में तीव्रता आई।

उपयोक्‍ता समष्टि उपयोगिता क्रमादेश






आईपी तालिका
,,   (अधोरेखांकन नाम का भाग है) और   नाम के कर्नेल मापांक में नेटफिल्टर अंकुश प्रणाली के धरोहर वेष्टक निस्यंदन भाग सम्मिलित हैं। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण  ,  ,   और   के माध्यम से प्रशासित किया जा सकता है। ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक भिन्न कार्यक्षमता के साथ एक भिन्न इकाई है।

प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को स्थगित कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।

नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें,    और    सम्मिलित हैं। ये श्रृंखला शीर्षक नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए,   में आता है, जब   स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है और अग्रेषित परियात   श्रृंखला के अंतर्गत आता है। स्थानीय रूप से उत्पन्न आउटपुट,   श्रृंखला से होकर गुजरता है और भेजे जाने वाले वेष्टक   श्रृंखला में होते हैं।

नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।


 * मापांक
 * भारित होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले स्थगित किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को निस्यंदन करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।


 * मापांक
 * संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे एनएटी या अग्रिम निस्यंदन है।


 * मापांक
 * दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पूर्व अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या नेट) जो आईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है और किसी भी प्रकार के निस्यंदन के लिए अभिप्रेत नहीं है।


 * मापांक
 * निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।


 * मापांक
 * अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि  और   लक्ष्य द्वारा सक्षम है। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स चिह्नकों को संदर्भित करते हैं)। अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे एसईलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के निर्देश के पश्चात सुरक्षा तालिका को स्थगित किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी एमएसी नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित श्रृंखला में निर्मित है:   (अभिकलित्र में ही आने वाले वेष्टकों के लिए),   (अनुमार्गण से पूर्व स्थानीय रूप से उत्पन्न वेष्टकों को परिवर्तित करने के लिए) और   (अभिकलित्र के माध्यम से भेजे जा रहे वेष्टकों को परिवर्तित करने के लिए) है।

एनएफ तालिका
एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है।  नई उपयोक्‍ता समष्टि उपयोगिता है जो ,  ,   और    को प्रतिस्थापित करती है।

एनएफ तालिका कर्नेल यन्त्र लिनक्स कर्नेल में एक साधारण आभासी यन्त्र जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बाईटकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को अभिप्रायपूर्वक आधारभूत बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध अधिआंकड़ा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना संचालकों का उपयोग किया जा सकता है। वास्तविक यन्त्र डेटा के समूहों (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है।

यह धरोहर एक्सतालिका (आईपी तालिका, आदि) सांकेतिक अंक के विपरीत है, जिसमें विज्ञप्ति जागरूकता सांकेतिक अंक में इतनी गहराई से अंतर्निहित है कि इसे —‌आइपीवी4, आइपीवी6, एआरपी और ईथरनेट ब्रिजिंग के लिए चार बार दोहराया जाना पड़ता है। सुरक्षा भित्ति के रूप में सामान्य तरीके से उपयोग किए जाने के लिए यन्त्र बहुत अधिक विज्ञप्ति-विशिष्ट हैं।  पर मुख्य लाभ लिनक्स कर्नेल एबीआई का सरलीकरण, सांकेतिक अंक दोहराव में कमी, उन्नत त्रुटि प्रेषण और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों के परमाणु परिवर्तन हैं।

वेष्टक ​​​​एकीकरण
नेटफिल्टर के संयोजन अनुसरण ( मापांक) तक पहुँचने से पूर्व    मापांक आइपीवी4 वेष्टकों को एकीकृत करेगा। यह कर्नेल में संयोजन अनुसरण और एनएटी सहायक मापांक (जो छोटी-एएलजी का एक रूप है) के लिए आवश्यक है जो केवल सम्पूर्ण वेष्टक पर दृढ़ता से करते हैं,आवश्यक रूप से खंडों पर नहीं।

आइपीवी6 डी खंडक अपने आप में एक मापांक नहीं है, परन्तु  मापांक में एकीकृत है।

संयोजन अनुसरण
नेटफिल्टर प्राधार के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक संयोजन अनुसरण है। संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजनों या सत्रों का पंक्ति रखने की अनुमति देती है और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। एनएटी इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस सूचना पर निर्भर करता है और  इस सूचना का उपयोग स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए कर सकता है।

संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के अवस्था से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी की अवस्था है। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, अर्थात, कोई स्थानीय वितरण नहीं होता है, तो टीसीपी यंत्र को जरूरी नहीं लगाया जा सकता है। यहां तक ​​कि यूडीपी, आईपीसीईसी (एएच/ईएसपी), जीआरई और और अन्य सुरंगन विज्ञप्ति जैसे संयोजन रहित-प्रणाली प्रसारण में कम-से-कम एक आभासी संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित मध्यांतर मान पर आधारित होता है, जिसकी समाप्ति के पश्चात नेटफिल्टर संयोजन हटा दिया जाता है।

प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (स्तर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, स्तर-4 विज्ञप्ति, स्तर-4 की) टपल द्वारा पहचाना जाता है। स्तर-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टकों को अनिवार्य रूप से डी-खंडित किया जाएगा।

नेटफिल्टर संयोजन को उपयोक्ता समष्टि साधन  के साथ युक्तियोजित किया जा सकता है।

वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे अवस्थाओं, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम अवस्था हैं:
 * : एक नया संयोजन बनाने का प्रयास कर रहा है।
 * : पूर्व से उपस्थित संयोजनो का भाग है।
 * : एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और और जिसे "अपेक्षित" किया गया है; उपरोक्त छोटी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब   मापांक एक एफ़टीपी   समादेश देखता है।
 * : वेष्टक को अमान्य वेष्टक पाया गया, उदाहरण के लिए, यह टीसीपी स्थिति आरेख का पालन नहीं करेगा।
 * : एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को उपमार्गन करने के लिए व्यवस्थापक द्वारा निर्दिष्ट किया जा सकता है (ऊपर रॉ तालिका देखें)।

एक सामान्य उदाहरण यह होगा कि कनट्रैक उप-प्रणाली जो पहला वेष्टक देखता है उसे "नए" में वर्गीकृत किया जाएगा, उत्तर को "स्थापित" वर्गीकृत किया जाएगा और एक आईसीएमपी त्रुटि "संबंधित" होगी। एक आईसीएमपी त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह "अमान्य" होगा।

संयोजन अनुसरण सहायक
प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-स्तर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, एफ़टीपी विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब  मापांक लोड किया जाता है, तो एफ़टीपी डेटा संयोजन के पहले वेष्टक को "नए' के बजाय "संबंधित" के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से उपस्थित संयोजन का भाग है।

सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण सूचना दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से प्रतिरूप को पहचान नहीं पाएगा और इसलिए अपना संचालन नहीं करेगा। आईपी विखंडन को एकीकरण की आवश्यकता वाले संयोजन अनुसरण उप-प्रणाली से निपटा जाता है, हालाँकि टीसीपी विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी की स्थिति में, विभाजन को मानक खंड आकार के साथ  जैसे समादेश के "निकट" नहीं होने के रूप में माना जाता है, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।

जालक्रम पता अनुवाद
प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही आरंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को परिवर्तित कर और जहां वांछित हो, पत्तन को परिवर्तित कर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना उत्तर पता युग्म (और पत्तन) से भी की जाएगी। एनएटी के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा पुनः खंडित किया जा सकता है)।

एनएटी सहायक
संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।

अग्रिम नेटफिल्टर परियोजनाएं
हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करते है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करते है।

कनेक्टट्रैक-साधन
लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में   डेमॉन और समादेश पंक्ति अंतरापृष्ठ   सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन   का उपयोग उच्च उपलब्धता समूह-आधारित स्टेटफुल सुरक्षा भित्ति को सक्षम करने और स्टेटफुल सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ   अप्रचलित   की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।

आईपीसमूह
संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत,  कोर नेटफिल्टर सांकेतिक अंक की तुलना में   से अधिक संबंधित है। उदाहरण के लिए,   नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक   मापांक प्रदान करता है।

नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित  नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए)   में प्रदान किए जाते हैं।

एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई  नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।

लक्ष्य ऐसी स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़े एसवाईएन बहुतायत से निपटना संभव बनाता है।  लक्ष्य के लिए प्रारंभिक   अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम   स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरणों को मुक्त कर देते हैं। इस तरह, विशाल   बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।

3 नवंबर 2013 को, लिनक्स कर्नेल प्रमुख पंक्ति के संस्करण 3.12 के विमोचन के साथ,  प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।

यूलॉगड
नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है।  वेष्टकों को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टकों या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचनाओं का आदान-प्रदान करने के लिए   के साथ अंत:क्रिया कर सकता है।

उपयोक्‍ता समष्टि पुस्तकालय
नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में  होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
 * आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; जो  पर आधारित है।
 * आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; जो  पर आधारित है।


 * उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; जो  पर आधारित है।
 * उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; जो  पर आधारित है।


 * आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; जो  पर आधारित है।
 * आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; जो  पर आधारित है।


 * पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है; जो  परियोजना का भाग है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करती है; यह किसी  पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   को उपयोगिताओं द्वारा उपयोग किया जाता है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करती है; यह किसी  पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   को उपयोगिताओं द्वारा उपयोग किया जाता है।
 * आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करती है; यह किसी  पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से   को उपयोगिताओं द्वारा उपयोग किया जाता है।


 * आईपी समूह पर संचालन की अनुमति प्रदान करता है;  पर आधारित है।
 * आईपी समूह पर संचालन की अनुमति प्रदान करता है;  पर आधारित है।

नेटफिल्टर कार्यशाला
नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।

यह भी देखें

 * बर्कले वेष्टक निस्यंदन
 * जेनीटेक बनाम मैकहार्डी (2018) अभियोग
 * आईपी वास्तविक परिवेषक (आईपीवीएस, एलवीएस का भाग)
 * आईपी ​​​​श्रृंखला, आईपी तालिका के पूर्ववर्ती
 * आईपी ​एफडब्ल्यू
 * लिनक्स वास्तविक परिवेषक (एलवीएस)
 * नेटलिंक, नेटफिल्टर विस्तारण द्वारा उपयोग किया जाने वाला एपीआई
 * जालक्रम अनुसूचक, जालक्रम चित्ति का एक अन्य निम्न-स्तरीय घटक
 * एनपीएफ (सुरक्षा भित्ति)
 * पीएफ (सुरक्षा भित्ति)
 * सरल सुरक्षा भित्ति

बाहरी संबंध

 * conntrack-tools homepage
 * आईपी समूह homepage
 * यूलॉगड homepage
 * Home of the Netनिस्यंदन Workshop w ईबीsites
 * "Writing Netनिस्यंदन Modules" (e-book; 2009)
 * "Netनिस्यंदन and आईपी तालिका &mdash; Stateful Firewalling for लिनक्स" (11 October 2001)
 * Network overview by Rami Rosen
 * Network overview by Rami Rosen