Linux, un avanzado router/firewall
iptables: matchs y targets

Podemos hacer match mediante la observación de uno (o mas) headers del sk_buff
interfaz de entrada/salida, protocolo, src/dst ip, ...
incluso a los datos (por ejemplo conntrack_ftp busca PORT dentro del stream de datos)
Un target es qué hacer si el paquete cumple la regla
targets predefinidos
ACCEPT
DROP
QUEUE
RETURN
apuntar a un "userdefined" chain