Se o endereço de destino arbitrário não for o mesmo que o roteador e o sistema de roteamento do seu roteador tomou a decisão (com base no endereço de destino do pacote) de encaminhá-lo, o pacote passará pelo FORWARD
cadeia da tabela filter
.
Para obter um pacote na cadeia OUTPUT
, seu roteador deve ter criado o pacote sozinho. Nos tempos antigos, com ipchains
, o comportamento era diferente. Se você não tentar coisas extravagantes com iptables
, como NFQUEUE
ing o pacote falsificado para userspace e escrever sua própria ferramenta que encaminha o pacote do userspace (do ponto de vista do kernel: gerando um novo pacote), pacote que você está falando nunca deve acabar na cadeia OUTPUT
.
Note que o rp_filter
(filtro de caminho inverso) do seu kernel pode já descarta o pacote falsificado antes de atingir a cadeia FORWARD
da tabela filter
.
Além disso, observe: algumas pessoas preferem implementar as regras de proteção contra falsificação antes da decisão de roteamento, ou seja, na cadeia PREROUTING
da tabela raw
.