关于 Linux 内核的 Netfilter 部分中的深度数据包检查的说明

Question

Linux 内核提供 Netfilter 作为 NAT 和防火墙功能的机制。这两个功能都需要对传入数据包进行分析和分类，这被称为“状态数据包检查”。

对于大多数流量，查看 IP 数据包标头就足够了。然而，像 FTP、IRC、H.323（以及其他一些）这样的协议在内核配置中有特定的模块，以便于这些数据包进行正确的 NAT 穿越。在内核中，这些被称为“conntrack 模块”。

现在，我的理解是，检查这些数据包的有效负载，以便使 netfilter 能够识别外部连接何时到达并需要路由到相应的客户端。这是因为协议期望在 OSI 第 7 层上传输信息，这对在第 3 层上发送的实际 IP 数据包有直接影响。换句话说，应用程序代码会导致另一个 TCP 连接的创建，该连接必须由NAT 设备。

现在回答我的问题：

• 为什么这个地方（好吧，我只是快速进行了谷歌搜索）没有标有“深度数据包检查”一词？
• 鉴于 GNU/Linux 上运行的塑料路由器设备数量巨大，这在深度数据包检查被视为非法的领域可能会成为法律问题吗？我想到了有关网络中立性和流量保密性的可能法规，这可能会影响网络服务提供商，他们希望为客户提供更好的服务，并且需要在某些环境中使用 NAT。