Каково различие между ВЫВОДОМ и ВПЕРЕД цепочками в iptables?
С cut и paste можно также сделать остроту:
$ cat file
1234
ABCD
EFGH
$ paste --delimiter='' <(cut file -c2-4) <(cut file -c1)
2341
BCDA
FGHE
ВЫВОД для пакетов, которые испускаются хостом. Их место назначения обычно является другим хостом, но может быть тем же хостом через петлевой интерфейс, таким образом, не все пакеты, которые проходят ВЫВОД, на самом деле исходят.
ВПЕРЕД для пакетов, которые ни не испущены хостом, ни направлены к хосту. Они - пакеты, которые просто направляет хост.
Когда Вы начинаете рыть в пакетное искажение и NAT, полная история скорее более сложна.
Насколько я понимаю:
INPUT: dst IP находится на хосте, даже если у него несколько портов с несколькими подсетями
OUTPUT: src IP находится на хосте, любой порт
FORWARD: ни dst IP на хосте, ни src IP с хоста
Например, на маршрутизатор A
INPUT это:
192. 168.10.1 -> 192.168.10.199
192.168.10.1 -> 192.168.2.1
OUTPUT:
192.168.10.199 -> x.x.x.x
192.168.2.1 -> x.x.x.x
FORWARD:
192. 168.10.1 -> 192.168.2.199
192.168.10.1 -> 192.168.8.1
192.168.10.1 -> 192.168.8. 199
filterцепочки (INPUTилиOUTPUTилиFORWARD). (Принимающий некоторую другую цепочку не отбрасывает его прежде.)mangleиnatцепочки отличаются, возможно, Вы думалиmangleцепочка? – Gilles 'SO- stop being evil' 18.10.2013, 11:20