Eine Regelliste wird von oben nach unten abgearbeitet. Treffen alle Bedingungen einer Regel zu („Match“), wird die Aktion der Regel ausgeführt. Bei den meisten Aktionen ist der Durchlauf für dieses Paket beendet, spätere Regeln haben keine Auswirkung (die erste zutreffende Regel entscheidet).

Triff keine Regel einer Regelliste zu, wird das Paket verworfen (implizites Deny). Dies wird durch die unveränderliche Regel am Schluss der Regelliste visualisiert. Wird ein Paket an eine andere Regelliste weitergeleitet und trifft dort keine Regel zu, wird das Paket an die ursprüngliche Regelliste zurückverwiesen. Die in der weitergeleiteten Regelliste angezeigte „Deny“ Regel gilt nicht für den Rücksprung.