Разъяснение, касающееся глубокой проверки пакетов, в разделе Netfilter ядра Linux

Ядро Linux предоставляет Netfilter в качестве механизма для функций NAT и брандмауэра. Обе эти функции требуют анализа и классификации входящих пакетов, которая называется "проверка пакетов с отслеживанием состояния".

Для большей части трафика достаточно посмотреть заголовки IP-пакетов. Тем не менее, такие протоколы, как FTP, IRC, H.323 (и еще несколько) имеют специальные модули в конфигурации ядра, чтобы облегчить надлежащий NAT-обход этих пакетов. В ядре они называются "модули conntrack".

Теперь я понимаю, что полезная нагрузка этих пакетов проверяется, чтобы позволить netfilter распознавать, когда поступает внешнее соединение и его необходимо направить соответствующему клиенту. Это связано с тем, что протокол ожидает информацию, передаваемую на уровне 7 OSI, которая напрямую влияет на фактические IP-пакеты, отправляемые на уровне 3. Другими словами, код приложения вызывает создание другого TCP-соединения, которое должно маршрутизироваться Устройство NAT.

Теперь к моим вопросам:

• Почему это нигде (хорошо, я только что сделал быстрый поиск в Google) помечено термином Deep Packet Inspection?
• Учитывая огромное количество пластиковых маршрутизаторов, работающих на GNU/Linux, может ли это быть юридической проблемой в тех областях, где Deep Packet Inspection считается незаконным? Вспоминаются возможные правила, касающиеся сетевого нейтралитета и конфиденциальности трафика, которые могут повлиять на поставщиков сетевых услуг, которые хотят предоставлять более качественные услуги клиентам и которым необходимо использовать NAT в определенных средах.