Se o endereço de destino arbitrário não for o mesmo que o roteador e o sistema de roteamento do seu roteador tomou a decisão (com base no endereço de destino do pacote) de encaminhá-lo, o pacote passará pelo FORWARD cadeia da tabela filter .
Para obter um pacote na cadeia OUTPUT , seu roteador deve ter criado o pacote sozinho. Nos tempos antigos, com ipchains , o comportamento era diferente. Se você não tentar coisas extravagantes com iptables , como NFQUEUE ing o pacote falsificado para userspace e escrever sua própria ferramenta que encaminha o pacote do userspace (do ponto de vista do kernel: gerando um novo pacote), pacote que você está falando nunca deve acabar na cadeia OUTPUT .
Note que o rp_filter (filtro de caminho inverso) do seu kernel pode já descarta o pacote falsificado antes de atingir a cadeia FORWARD da tabela filter .
Além disso, observe: algumas pessoas preferem implementar as regras de proteção contra falsificação antes da decisão de roteamento, ou seja, na cadeia PREROUTING da tabela raw .