Retazec (CHAIN) je zoznam pravidiel (rules), pricom kazde pravidlo hovori 'ak hlavicka paketu vyzera takto tak urob s paketom nasledovne', ak paket nematchuje pravidlo je skontrolovany oproti dalsiemu v poradi. Ked neostanu uz ziadne pravidla, pozrie sa kernel na defaultnu chain policy a rozhodne co s paketom spravi (vacsina rozumne skonfigurovanych firewallov DROPne vsetky pakety ktore nevyhovuju ani jednemu z pravidiel).