В чем разница между стандартными цепями INPUT, OUTPUT и FORWARD в Mikrotik?

Разница между цепочками INPUT, OUTPUT и FORWARD в MikroTik заключается в том, за какой тип трафика они отвечают: xakep.ru sysadminhub.ru

1. INPUT — отвечает за фильтрацию трафика, который направлен на сам роутер. sysadminhub.ru Сюда попадает, например, WinBox, SSH, WebFig, ping, VPN и другой трафик, предназначенный роутеру. xakep.ru У входного трафика не может быть исходящего интерфейса — он обработается внутри роутера и никуда дальше не полетит. xakep.ru
2. OUTPUT — применяется к пакетам, которые исходят от самого роутера. sysadminhub.ru Это могут быть ответы на трафик, пришедший в INPUT, или новые пакеты от роутера (пинг, VPN, SSH-сессия с самого роутера). xakep.ru У выходного трафика не может быть входящего интерфейса — этот трафик генерируется самим роутером. xakep.ru
3. FORWARD — обрабатывает пакеты, проходящие через роутер. sysadminhub.ru Сюда попадает, например, трафик из локалки в интернет, из интернета в локалку, из одного VLAN локалки в другой. xakep.ru У трафика в FORWARD всегда есть входящий и исходящий интерфейсы. xakep.ru

Считается, что правила внутри таблиц файрвола MikroTik лучше упорядочивать по цепочкам: сначала — правила INPUT, затем — FORWARD, в конце — OUTPUT. xakep.ru