OUTPUT ist für Pakete, die vom Host ausgegeben werden. Ihr Ziel ist normalerweise ein anderer Host, kann aber über die Loopback-Schnittstelle derselbe Host sein, sodass nicht alle Pakete, die durch OUTPUT gehen, auch wirklich abgehend sind.
FORWARD ist für Pakete, die weder vom Host ausgegeben noch an den Host geleitet werden. Das sind die Pakete, die der Host lediglich weiterleitet.
Wenn Sie anfangen, sich mit Packet Mangling und NAT zu beschäftigen, wird die ganze Geschichte etwas komplexer.
Nach meinem Verständnis:
INPUT:dst IP befindet sich auf dem Host, auch wenn er mehrere Ports mit mehreren Subnetzen hat
AUSGABE:src IP ist vom Host, entweder Port
FORWARD:Weder dst IP auf dem Host noch src IP vom Host
Zum Beispiel an Router A
EINGABE ist:
192.168.10.1 -> 192.168.10.199
192.168.10.1 -> 192.168.2.1
AUSGABE ist:
192.168.10.199 -> x.x.x.x
192.168.2.1 -> x.x.x.x
FORWARD ist:
192.168.10.1 -> 192.168.2.199
192.168.10.1 -> 192.168.8.1
192.168.10.1 -> 192.168.8.199