en court, la réponse est non à ta question.
INPUT est pour une entrée sur le serveur, FORWARD pour un paquet à destination d’ailleurs, le LAN ici via NAT.
cela va se décider principalement en fonction des chaines PREROUTING des tables mangle, raw et nat
# iptables -t raw -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
# iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
PortForwarding all -- anywhere anywhere
SMTPProxy tcp -- anywhere anywhere tcp dpt:smtp
TransProxy tcp -- anywhere anywhere tcp dpt:http
# iptables -t mangle -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
la question est donc veux tu empêcher la communication vers le serveur ou vers une ressource du LAN (une de celles autorisées par le port forwarding) ?
ou bien empecher une ressource du LAN de communiquer avec ces IP ?