Linux, un avanzado router/firewall
La estructura de netfilter



En cada uno de estos hooks el kernel (o un módulo) se puede añadir con cierta prioridad
Así puede mirar el sk_buf, alterarlo y decidir el futuro del paquete
NF_ACCEPT: continúa
NF_DROP: desaparece
NF_STOLEN: roba el paquete (no continúa)
NF_QUEUE: encolar el paquete (para userland)
NF_REPEAT: llamar al hook nuevamente