# [IPTABLES] Una ayudita (Solucionado)

## ZaPa

Hola.

Actualmente estoy experimentando bastante con iptables.

Me gustaria aprender a un nivel considerable iptables, pero en el transcurso me he quedado parado jeje.

Tengo una pequeña duda.

En  muchos scripts de internet y demás, he visto que para dropear paquetes de un servicio en concreto utilizan la cadena "INPUT".

Pero en el libro que estoy leyendo para esta función utiliza SIEMPRE la cadena "FORWARD" .

Tengo entendido que..

INPUT es para tratar los paquetes justo antes de que entren al proceso local (justo cuando entra el pquete al sisistema).

FORWARD, según he leido, se utiliza cuando el paquete pasa a desde una interfáz a otra.

La cuestión es....

¿INPUT y FORWARD, son similares?

¿Porque personas con el mismo escenario (servidor con 2 tarjetas de red), unos utilizan INPUT y otros FORWARD? 

Aver si me podeis hechar una mano.

Saludos y muchisimas gracias.

----------

## Stolz

INPUT y FORWARD no son similares. No se por qué en tu libro usan FORWARD pero yo siempre he usado ( y siempre he visto que se usa) la cadena INPUT.

----------

## ZaPa

Hola.

Stolz. Pero... ¿FORWARD no se utiliza para cuando se esta elaborado un GATEWAY? o algo asi tenia entendido (rectificame si no es correcto.)

¿Que cuestión se podria plantear para utilizar una cadena u otra?

Un saludo.

Muchas gracias.

----------

## Inodoro_Pereyra

No es complicado de entender, los nombres son autoreferentes. Todo lo que se procesa en INPUT antecede a la desición de ruteo.

Si la desición de ruteo implica FORWARD, reenvío, entonces es lo mismo filtrar en INPUT o en FORWARD. En un firewall sobrecargado, mejor filtrar en INPUT que en FORWARD, se ahorra tiempo de procesador y por eso la convención.

FORWARD, para que qede claro, implica que un paquete es ruteado de una interface a otra, indistintamente si el flujo es de entrada o de salida.

Salud!

----------

## ZaPa

Hola Inodoro_pererya !!!

Cuanto tiempo sin verte por aqui.¿Todo bien?

Actualmente estoy liado aplicando QoS con tc y sus clases y demás...

Tenia esta duda (de utilizar FORWARD o no) al marcar un paquete en un gateway con 2 interfaces de red.

Pero bueno, con vuestras aclaraciones, queda 100% acertado que debo utilizar FORWARD ya qué (el tráfico sale de la red local (eth1) ) a internet (por eth0).

Ya utilizaba la cadena FORWARD pero solamente era una consulta para que me quedara más claro.

Muchas gracias a todos, como siempre.

----------

