As políticas fwd são não geradas automaticamente pelo kernel, mas são instaladas pelo daemon de chaves (strongSwan, neste caso).
Eles precisam permitir que o tráfego seja encaminhado para e de hosts atrás do gateway da VPN no modo de túnel.
Para um pacote de entrada endereçado a um IP que não está instalado no próprio gateway, uma política fwd é pesquisada após a descriptografia. Para o tráfego local, uma política in correspondente é pesquisada. Se nenhum for encontrado, o pacote é descartado.
Para o tráfego de saída que não foi gerado no próprio gateway da VPN, uma política fwd é pesquisada. Se o pacote não foi criptografado, não haverá falha se nenhuma política fwd for encontrada. E se o tráfego for encaminhado entre dois túneis, a política de entrada fwd instalada com uma diretiva atuará como política de saída fwd para a outra e vice-versa. Depois, uma política out é procurada para decidir se o pacote será encapsulado. É por isso que uma política fwd na direção de saída geralmente não é necessária.
No entanto, se houver, e. uma política de drop / block fwd com prioridade baixa que corresponde a tudo (por exemplo, para evitar que o tráfego de texto não criptografado passe no gateway se não houver túneis estabelecidos) uma política fwd na direção de saída é explicitamente exigido, pois a política block cancelará todo o tráfego não criptografado. É por isso que o strongSwan começou a instalar as políticas do fwd em ambas as direções com 5.5.0 .
Uma versão anterior desta resposta afirmou que a política única (entrada) fwd é simétrica (isto é, src e dst funcionam em qualquer direção). Isso não é verdade, mas como explicado acima em muitas situações, isso não importa.