С iptables важно понять, что он будет проходить через правила в последовательном порядке, поэтому на ваш вопрос невозможно ответить, не зная, каковы все остальные существующие правила в вашей конфигурации iptables. Это можно увидеть для отдельных цепочек с «iptables -vL chain» (например, iptables -vL INPUT) или для всех цепочек с «iptables-save».
Существует также одно неявное правило в трех цепочках по умолчанию (INPUT, OUTPUT и FORWARD); это политика цепочки, которая определяет, что происходит с пакетами, которые не соответствуют критериям ни одного из существующих правил в этой цепочке. Из вашего примера, кажется, вы уже поняли это.
Что касается использования INPUT, а не FORWARD, используйте INPUT. FORWARD предназначен только для пересылки пакетов на другие машины (т. Е. Когда машина с iptables выступает в качестве межсетевого экрана для других машин).
Чтобы подвести итог и вернуться к исходному вопросу, написанные вами правила кажутся почти нормальными (я думаю, что внутри флагов должен быть "-p tcp", чтобы указать, что правила касаются протокола tcp. И, конечно, если есть другие правила, о которых мы не знаем, то они вполне могут заблокировать http-трафик до того, как он достигнет этих правил. Таким образом, в iptables первое терминальное правило (то есть правило с ACCEPT, REJECT или DROP), которое имеет критерии, соответствующие пакету, будет обрабатывать этот пакет, и никакие другие правила после него в той же цепочке не влияют на обработку.
