Софтуерът iptables позволява към пакетите да се прилагат най- различни критерии. Критериите могат да бъдат прилагани към входни пакети, изходящи пакети или пакетите, които преминават през защитната стена. Тези решения могат да бъдат базирани на това от кой адрес идват пакетите, към кой адрес отиват или към кой порт отиват. Могат да се прилагат различни правила, в зависимост от това дали става въпрос за TCP пакети, UDP пакети или ICMP пакети. Netfilter може също да променя флаговете на пакетите. И най-накрая, общата политика определя съдбата на всички пакети, които не са обработени от конкретно правило.

Способността на netfilter да обработва пакетите, асоциирани с установени или сродни конекции, му позволява да поддържа състояние. Това означава, че софтуерът може да следи конекциите. Всъщност всеки софтуер за филтриране на пакети (като стария ipchains от ядрото на Linux версия 2.2.x), позволяващ активни FTP сесии, поддържа състояние. Това се отнася и за всеки софтуер, който има възможност за следене на маскирани конекции. Netfilter позволява да се прилагат правила конкретно към установените или сродните конекции. Също така той следи тези конекции и следващите (установени или сродни) пакети не преминават през целия набор от правила, а само през тези, които са се пролагали към началната конекция. Това дава възможност на netfilter да работи по-бързо.
Прокси защитни стени

Прокси защитните стени работят по различен начин от защитните стени с филтриране на пакетите. Целият трафик се получава в защитната стена, незвисимо дали е входящ или изходящ. Но прокситата пренасочват разрешения трафик през защитната стена, като променят хедърите. За да бъде пренасочен трафикът навън, потребителят трябва да се автентикира пред прокси сървъра. Всъщност много от нещата от предходната секция се отнасят и за прокситата. Разликата е фина; понеже софтуерът за филтриране на пакети променя хедърите, когато извършва маскиране, трудно може да се обясни, че има различие между прозрячното прокси и маскиращата защитна стена с филтриране на пакетите.Основната разлика все пак е, че проксито пренасочва (локално) трафика, който пристига на един интерфейс и иизлиза през друг, защитните стени с филтриране на пакетите обикновено не пренасочват целия трафик. Ако погледнем това под друг ъгъл, прокситата работят в по-висок слой от OSI модела спрямо защитните стени с филтриране на пакетите.