OUTPUT è per i pacchetti emessi dall'host. La loro destinazione è solitamente un altro host, ma può essere lo stesso host tramite l'interfaccia di loopback, quindi non tutti i pacchetti che passano attraverso OUTPUT sono effettivamente in uscita.
FORWARD è per i pacchetti che non sono né emessi dall'host né diretti all'host. Sono i pacchetti che l'host sta semplicemente instradando.
Quando inizi a scavare nella manipolazione dei pacchetti e nel NAT, la storia completa è piuttosto più complessa.
A quanto mi risulta:
INPUT:l'IP dst è sull'host, anche se ha più porte con più sottoreti
OUTPUT:l'IP src proviene dall'host, su entrambe le porte
FORWARD:Né dst IP sull'host né src IP dall'host
Ad esempio, al router A
INPUT è:
192.168.10.1 -> 192.168.10.199
192.168.10.1 -> 192.168.2.1
USCITA è:
192.168.10.199 -> x.x.x.x
192.168.2.1 -> x.x.x.x
AVANTI è:
192.168.10.1 -> 192.168.2.199
192.168.10.1 -> 192.168.8.1
192.168.10.1 -> 192.168.8.199