lovecraft

Может быть это вам поможет?

Flow Output
For each flow observed by "conntrack", three flow records are output by
this tool. As explained below, three records are required to correlate
the NAT operation which took place. The assumption of source IP NAT will
be relaxed in a future release of this software.

The format of these lines is "flow-tools" CSV for NetFlow version 5. Of
course your NetFlow collector receives a proper UDP NetFlow payload, but
here we are looking at the default Syslog output. The fields are listed
in order in the table below:

iptables дергает API ядра (netfilter) и создает правила, по которым работают ядерные модули. На каждый протокол чих есть соответствующий ядреный модуль - например, если хочешь фильтровать по диапазону портов, нужен модуль xt_multiport. Если модуль есть - он загружается автоматически. если нет - печаль (
Некоторое время назад разработчиков достала необходимость писать кучу модулей и они сделали nftables. Он устроен по-другому: на уровне ядра есть конечный автомат, который исполняет байт-код и с помощью этого байт-кода фильтрует пакеты. Пользовательская утилита просто компилирует правила в байт-код и загружает его в ядро.