Исправление pinachet, (текущая версия) :
Там же более оптимальные системы ядра я как понимаю начали использовать
Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.
Исходная версия pinachet, :
Там же более оптимальные системы ядра я как понимаю начали использовать