A csomagszűrés az informatikában a tűzfal funkció egyik megvalósítása. Ennek során a csomagok fejlécét szűrőprogrammal ellenőrzik, és a szűrő különböző szabályok alapján eldönti, hogy mi legyen a csomagok további sorsa. Például, csak egy adott IP-címről érkező csomagot enged be egy bizonyos interfész bizonyos portjára.

Csomagszintű tűzfal

Csak a csomagok fejlécét vizsgálja, tartalmukat nem. Linux és UNIX operációs rendszer alatt a kernel része, más operációs rendszereknél, mint például a Windowsnál, különálló alkalmazás végzi a csomagszűrést.

Iptables

A Linux operációs rendszer alatt a 2.4-es kerneltől kezdve az iptables végzi a csomagszűrést.

Vázlata

bejövő forgalom -->  --> <FORWARD> -->kimenő forgalom
                       |                           ^
                       v                           |
                    <INPUT>                     <OUTPUT>
                       |                           |
                       `-----> Helyi process ------'

Statikus csomagszűrés

A szűrési szabályokat egyszerűen a forrás és célállomás adatai alapján határozza meg (cím, protokoll, portszám, egyéb csomagfejléc jellemzők).

Dinamikus csomagszűrés

Mikor egy számítógép kommunikálni akar a tűzfal által védett hálózattal, akkor a tűzfal tárolja a távoli gép IP-címét és a port számát, melyen keresztül várja a választ, és megnyit egy véletlenszerűen kiválasztott portot, amelyen keresztül csak a tárolt IP-címről fogad csomagokat.

Állapotfüggő csomagszűrés

Az állapotfüggő csomagfelügyelet (angolul stateful packet inspection, rövidítve SPI) olyan tűzfal-architektúra, amely – a statikus csomagfelügyelettel ellentétben – értelmezi a csomagok egymásutániságát, és „követi” az összetartozó csomagok által alkotott logikai adatfolyamok állapotát, és így azokat egy magasabb absztrakciós szinten képes ellenőrizni (például észlelni az adatfolyamokba logikailag nem illeszkedő adatcsomagokat).