Netfilter 是 Linux 内核中的网络包处理框架，负责数据包的处理方式。它通过五个钩子点在数据包收发路径中插入回调函数，允许对数据包进行放行、丢弃或修改。本文探讨了钩子注册、连接跟踪和 NAT 转换的实现细节，以及 nftables 的架构改进，强调性能优化和可观测性的重要性。