อะไรคือความแตกต่างระหว่างเครือข่าย OUTPUT และ FORWARD ใน iptables

CentOS 6.0

ฉันกำลังเรียน iptables และกำลังสับสนกับความแตกต่างระหว่างเครือข่าย FORWARD และ OUTPUT ในเอกสารการฝึกอบรมของฉันระบุว่า:

หากคุณต่อท้าย (-A) หรือลบจากห่วงโซ่ (-D) คุณจะต้องการนำไปใช้กับข้อมูลเครือข่ายที่เดินทางในหนึ่งในสามทิศทาง:

• INPUT - แพ็กเก็ตที่เข้ามาทั้งหมดจะถูกตรวจสอบกับกฎในห่วงโซ่นี้
• OUTPUT - แพ็กเก็ตขาออกทั้งหมดถูกตรวจสอบกับกฎในห่วงโซ่นี้
• ไปข้างหน้า - แพ็คเก็ตทั้งหมดที่ถูกส่งไปยังคอมพิวเตอร์เครื่องอื่นจะถูกตรวจสอบกับกฎในห่วงโซ่นี้

สิ่งนี้ทำให้ฉันสับสนเพราะในความคิดของฉันแพ็คเก็ตออกไปสำหรับโฮสต์ที่จะออกไป มีสถานการณ์ที่แพ็คเก็ตจะไปที่คอมพิวเตอร์เครื่องอื่น แต่ไม่ใช่ "ขาออก" หรือไม่? iptables จะแยกความแตกต่างระหว่างทั้งสองได้อย่างไร

OUTPUT สำหรับแพ็คเก็ตที่ปล่อยออกมาโดยโฮสต์ ปลายทางของพวกเขามักจะเป็นโฮสต์อื่น แต่สามารถเป็นโฮสต์เดียวกันผ่านอินเทอร์เฟซย้อนกลับดังนั้นแพ็คเก็ตทั้งหมดที่ผ่าน OUTPUT ไม่ได้อยู่ในความเป็นจริง

ไปข้างหน้าสำหรับแพ็คเก็ตที่ไม่ได้ปล่อยออกมาโดยโฮสต์หรือกำกับไปยังโฮสต์ พวกเขาเป็นแพ็กเก็ตที่โฮสต์เป็นเพียงการกำหนดเส้นทาง

เมื่อคุณเริ่มการขุดเป็น mangling แพ็คเก็ตและ NAT เรื่องเต็มค่อนข้างซับซ้อนมากขึ้น

เพื่อความเข้าใจของฉัน:

อินพุต: dst IP อยู่บนโฮสต์แม้ว่าจะมีหลายพอร์ตที่มีหลายซับเน็ต

OUTPUT: src IP มาจากโฮสต์ไม่ว่าจะเป็นพอร์ตใด

ไปข้างหน้า: ทั้ง dst IP บนโฮสต์หรือ src IP จากโฮสต์

ตัวอย่างเช่นไปยังเราเตอร์ A

อินพุตคือ:

192.168.10.1 -> 192.168.10.199

192.168.10.1 -> 192.168.2.1

ผลลัพธ์คือ:

192.168.10.199 -> xxxx

192.168.2.1 -> xxxx

ไปข้างหน้าคือ:

192.168.10.1 -> 192.168.2.199

192.168.10.1 -> 192.168.8.1

192.168.10.1 -> 192.168.8.199