nie, trafia od razu do łańcucha forward

Do forward.
Nie. W duzym skrocie to wyglada tak:

Uzytkownik w LAN'ie wysyla cos do internetu. Pakiet trafia na brame
(w naszym przypadku na jeden z interfejsow w linuksie). Nastepuje
PREROUTING (DNAT), potem pakiet wchodzi na lancuch FORWARD,
nastepnie na POSTROUTING (SNAT). W tym momencie
pakiet jest modyfikowany - adres zrodlowy (lokalny) zostaje
podmieniony na adres publiczny serwera, zmiana zostaje
"zapisana" w tablicy CONNTRACT i pakiet jest wypuszczany w internet
na jakims wysokim porcie (nr portu rowniez zostaje zapamietany w CONNTRACT).
Kiedy wraca odpowiedz w internetu, serwer sprawdza w tablicy, czy ma informacje
o tym polaczeniu - jesli tak, to "wie", ze pakiet nalezy przekazac do
lokalnego odbiorcy, i do jakiego. Laduje wiec pakiet do FORWARD.
Jesli w CONNTRACT nie ma takiej informacji o polaczeniu, pakiet zostaje potraktowany
jako pakiet o miejscu dostarczenia na uruchomioną uslugę na serwerze. I wtedy
wchodzi na lancuch INPUT.
Z tego tez powodu z internetu uzytkownik nie moze zainicjowac polaczenia
bezposrednio z uzytkownikiem w LAN'ie, bo serwer nie majac
wpisu w CONNTRACT potraktuje pakiet jako wlasny (oczywiscie mozna
to zmienic robiac forward pakietu na okreslonym porcie - tzn. jak przyjdzie
pakiet na jakis z gory ustalony port, to serwer zrobi jego "przekazanie"
na jakis wybrany komputer w LAN'ie).
Generalnie mozesz traktowac, ze lancuch FORWARD jest uzywany wtedy, kiedy
serwer przerzuca pakiety nie bedace jego "wlasnoscia". Lancuchy OUTPUT
i INPUT sa natomiast wykorzystywane, kiedy to sam serwer generuje pakiety w siec
oraz otrzymuje pakiety skierowane tylko do niego.

Staralem sie to opisac lopatologicznie i zwiezle, mam nadzieje, ze choc
troche pomoglem :-)

Do forward.
Nie. W duzym skrocie to wyglada tak:

Uzytkownik w LAN'ie wysyla cos do internetu. Pakiet trafia na brame
(w naszym przypadku na jeden z interfejsow w linuksie). Nastepuje
PREROUTING (DNAT), potem pakiet wchodzi na lancuch FORWARD,
nastepnie na POSTROUTING (SNAT). W tym momencie
pakiet jest modyfikowany - adres zrodlowy (lokalny) zostaje
podmieniony na adres publiczny serwera, zmiana zostaje
"zapisana" w tablicy CONNTRACK i pakiet jest wypuszczany w internet
na jakims wysokim porcie (nr portu rowniez zostaje zapamietany w CONNTRACK).
Kiedy wraca odpowiedz w internetu, serwer sprawdza w tablicy, czy ma informacje
o tym polaczeniu - jesli tak, to "wie", ze pakiet nalezy przekazac do
lokalnego odbiorcy, i do jakiego. Laduje wiec pakiet do FORWARD.
Jesli w CONNTRACK nie ma takiej informacji o polaczeniu, pakiet zostaje potraktowany
jako pakiet o miejscu dostarczenia na uruchomioną uslugę na serwerze. I wtedy
wchodzi na lancuch INPUT.
Z tego tez powodu z internetu uzytkownik nie moze zainicjowac polaczenia
bezposrednio z uzytkownikiem w LAN'ie, bo serwer nie majac
wpisu w CONNTRACK potraktuje pakiet jako wlasny (oczywiscie mozna
to zmienic robiac forward pakietu na okreslonym porcie - tzn. jak przyjdzie
pakiet na jakis z gory ustalony port, to serwer zrobi jego "przekazanie"
na jakis wybrany komputer w LAN'ie).
Generalnie mozesz traktowac, ze lancuch FORWARD jest uzywany wtedy, kiedy
serwer przerzuca pakiety nie bedace jego "wlasnoscia". Lancuchy OUTPUT
i INPUT sa natomiast wykorzystywane, kiedy to sam serwer generuje pakiety w siec
oraz otrzymuje pakiety skierowane tylko do niego.

Staralem sie to opisac lopatologicznie i zwiezle, mam nadzieje, ze choc
troche pomoglem :-)