A primera vista, ipchains y iptables parecen ser bastante similares. Ambos m�todos de filtrado de paquetes usan cadenas de reglas operando dentro del kernel de Linux para decidir qu� hacer con los paquetes que cumplen determinadas reglas. Sin embargo, iptables proporciona un m�todo mucho m�s extensible de filtrado de paquetes, proporcionando al administrador un nivel de control mucho m�s refinado sin tener que aumentar la complejidad del sistema entero.
M�s concretamente, los usuarios que se encuentren c�modos con ipchains deber�an tener cuidado con las siguientes diferencias significativas entre ipchains e iptables antes de utilizar iptables:
Bajo iptables, cada paquete filtrado se procesa �nicamente usando las reglas de una cadena solamente, en lugar de hacerse con m�ltiples. Por ejemplo, un paquete FORWARD que llega al sistema usando ipchains tendr� que pasar por las cadenas INPUT, FORWARD, y OUTPUT para llegar a su destino. Sin embargo, iptables s�lo env�a paquetes a la cadena INPUT si su destino es el sistema local y tan s�lo los env�a a la cadena OUTPUT si el sistema local es quien genera los paquetes. Por esta raz�n, es importante que coloque la regla designada para capturar un paquete particular dentro de la regla que en verdad maneja el paquete.
El objetivo DENY ha sido cambiado a DROP. En ipchains, los paquetes que coincidan una regla en una cadena podr�an ser dirigidos al objetivo DENY. Este objetivo debe ser cambiado a DROP bajo iptables.
El orden es importante cuando se esten colocando opciones en una regla. Anteriormente, con ipchains, el orden de las opciones de una regla no importaba. El comando iptables usa una sintaxis m�s estricta. En comandos iptables, el protocol (ICMP, TCP o UDP) debe ser especificado antes del puerto fuente o destino.
Cuando especificamos las interfaces de red que vamos a usar en una regla, deberemos utilizar s�lo interfaces de entrada (opci�n -i) con cadenas INPUT o FORWARD y las de salida (opci�n -o) con cadenas FORWARD o OUTPUT. Esto es necesario debido al hecho de que las cadenas OUTPUT no se utilizan m�s con las interfaces de entrada, y las cadenas INPUT no son vistas por los paquetes que se mueven hacia las interfaces de salida.
Esta no es una lista completa de los cambios, dado que iptables es fundamentalmente un filtro de red re-escrito. Para informaci�n m�s especifica, consulte Linux Packet Filtering HOWTO mencionado en la Secci�n 18.7.