Eu acredito que você está fazendo a pergunta errada. A interface eth1 não faz parte da eth0_input e a eth0_output não faz parte da eth0_forward - embora possam estar relacionadas na sua configuração
- eth0 e eth1 são interfaces.
- eth0_input, eth0_output e eth0_forward são construções criadas por suas regras de configuração e enquanto descritivo são totalmente arbitrários.
As regras são separadas das interfaces, embora interajam com elas.
Em geral -
-
Os pacotes destinados à máquina local são manipulados pela cadeia INPUT. De forma semelhante, os pacotes originados da máquina local (ignorando NAT) são manipulados com a cadeia OUTPUT.
-
Pacotes de outras máquinas atrás do roteador passam pela cadeia FORWARD.
Você provavelmente descobrirá que a cadeia eth0_forward foi usada para controlar quais servidores & as portas estão expostas à Internet, ou seja, o tráfego proveniente da eth0 será tráfego do mundo e só deve ser permitido se - Ele corresponde a um fluxo de saída (ou seja, capturado por uma regra ESTABLISHED, RELACIONADA anterior) ou a uma porta conhecida em um sistema conhecido - caso em que deve ser permitido ou rejeitado antes de atingir eth1. A REGRA COMO ESCRITO TRATA COM TRÁFEGO DO MUNDO ANTES DE CHEGAR AO LADO DA LAN DO FIREWALL.