iptablesのPREROUTINGとFORWARDの違いは何ですか？

NATテーブル ：

このテーブルは、異なるパケットのNAT（ネットワークアドレス変換）にのみ使用する必要があります。つまり、パケットのソースフィールドまたは宛先フィールドを変換するためにのみ使用する必要があります。

フィルターテーブル ：

フィルタテーブルは、主にパケットのフィルタリングに使用されます。パケットを照合し、希望する方法でフィルタリングできます。これは、実際にパケットに対してアクションを実行し、その内容に応じてパケットに含まれているものを調べ、それらをDROPまたは/ ACCEPTする場所です。もちろん、事前のフィルタリングを行うこともできます。ただし、この特定のテーブルは、フィルタリングが設計された場所です。

テーブルとチェーンの探索 フィルターのFORWARDチェーンは、転送されたパケット（ネットワークから来てネットワークに出て行くパケット）のみが通過することがわかります。 PREROUTINGチェーンは、転送されたパケットと、宛先がローカルホストであるパケットの両方によってトラバースされます。

パケットの宛先アドレスを変更するためだけにnatのPREROUTINGを使用し、フィルタリング（パケットのドロップ/受け入れ）のためだけにフィルターのFORWARDを使用する必要があります。

ローカルマシン自体を宛先としない最初のルーティング決定にパケットを取得すると、そのパケットはFORWARDチェーンを介してルーティングされます。一方、パケットがローカルマシンがリッスンしているIPアドレス宛てである場合、INPUTチェーンを介してローカルマシンにパケットを送信します。  パケットはローカルマシン宛ての場合がありますが、NATを実行することにより、PREROUTINGチェーン内で宛先アドレスを変更できます。これは最初のルーティングの決定の前に行われるため、パケットはこの変更後に調べられます。このため、ルーティングの決定が行われる前にルーティングが変更される場合があります。すべてのパケットがこのイメージのいずれかのパスを通過することに注意してください。パケットを送信元と同じネットワークにDNATしても、ネットワーク上に戻るまで、残りのチェーンを通過します。