Étant le pare-feu officiel de FNU/Linux, Netfilter est beaucoup utilisé et bien documenté.

De plus en plus d'interfaces graphiques apparaissent pour configurer netfilter.

Contrairement à certain pare-feux commerciaux, Netfilter a très peu de limitation sur ses capacités de NAT. On peut faire chaque type de NAT avec des restrictions de source, de destination et de service.

Chaque appel à la commande iptables accède à la configuration de Netfilter dans le noyau. Pour créer une grosse configuration, il faut souvent des milliers d'appels à iptables. Chaque appel prenant un verrou sur Netfilter, le fonctionnement de Netfilter peut-être altéré pendant la phase le configuration.

Comme beaucoup d'autres pare-feux, Netfilter fait l'inspection de service (appellés conntracks ou suivi de connexion FTP, H323, SNMP, TFTP...) dans le noyau. C'est très risqué, car l'inspection de service étant complexe, tout bug pourrait permettre la prise de contrôle de la machine. Certains autres pare-feux ont privilégié la technologie de proxy tournant en espace utilisateur pour cette raison.

Netfilter ne fait pas de règles de NAT statiques pour des plages d'adresses. Pour faire une NAT statique de plage, il faut écrire une règle iptables par adresse.

Comme la plupart des pare-feux libres, Netfilter ne gère pas IPSec, les proxys, les IDS, les serveurs d'authentification et plein d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Mais il est évidemment possible d'utiliser d'autres paquets dédiés à ces tâches.