OUTPUT は、ホストによって発行されるパケット用です。通常、それらの宛先は別のホストですが、ループバック インターフェースを介して同じホストにすることもできるため、実際には OUTPUT を通過するすべてのパケットが送信されるわけではありません。
FORWARD は、ホストによって発行されたものでも、ホストに向けられたものでもないパケット用です。これらは、ホストがルーティングしているだけのパケットです。
パケット マングリングと NAT を掘り下げ始めると、全体の話はかなり複雑になります。
私の理解では:
入力:複数のサブネットを持つ複数のポートがある場合でも、dst IP はホストにあります
出力:src IP はホストからのもので、いずれかのポート
FORWARD:ホストの dst IP も、ホストからの src IP もありません
たとえば、ルーター A へ
入力は:
<ブロック引用>192.168.10.1 -> 192.168.10.199
192.168.10.1 -> 192.168.2.1
出力は:
<ブロック引用>192.168.10.199 -> x.x.x.x
192.168.2.1 -> x.x.x.x
フォワードは:
<ブロック引用>192.168.10.1 -> 192.168.2.199
192.168.10.1 -> 192.168.8.1
192.168.10.1 -> 192.168.8.199