Kernel zacne z 3omi zoznammi pravidiel v tabulke "filter", tieto zoznamy su firewallove retazce ktorymi su defaultne INPUT, OUTPUT asi takto:

                            _____
  prichadzajuci            /     \        odchadzajuci paket 
      -->[rozhodnutie]--->|FORWARD|------->
         [o routovani]     \_____/        ^
                 |                        |
                 v                       _|__
                _|_                     /    \
               /   \                   |OUTPUT|
              |INPUT|                   \____/
               \___/                      ^
                 |                        |
                 |----> Lokalny proces ----

3 boxy prezentuju 3 defaultne zabudovane chainy. Ked sa paket dostane na jeden z tych kruhov prezrie sa chain aby sa rozhodlo o osude paketu. Ak retazec hovori o tom ze paket sa ma DROPNUT tak tu skonci, ak je ACCEPT pokracuje dalej v znazornenom diagrame.

1. Paket pride na interface a kernel si v prvom rade pozrie kam je paket smerovany

2. Ak patri tomuto stroju, paket prejde diagramom dole do INPUT chainu. Ak nim prejde tak vsetky procesy ktore na takyto paket cakaju ho dostanu.

3. Ak je paket urceny pre ine rozhranie ako to ktorym pride a kernel ma zapnuty forwarding, paket prejde doprava na FORWARD chain a ak vyhovie pravidlam je poslany dalej.

4. Program (lokalny proces) takisto moze posielat pakety, ktore idu okamzite na OUTPUT retazec, ak vyhoveju tak su poslate tam kam patria.