V kazdem chainu (nejen defaultnim) plati, ze pokud vyhovi pravidlu, je predan do toho, co je uvedeno jako cil (DROP, ACCEPT, REJECT, uzivatelsky chain). A pokud je to uzivatelsky chain a nevyhovi zadnemu pravidlu nebo nenarazi na "slepy" cil (DROP, ACCEP, REJECT), vraci se tam, odkud prisel. Z defaultnich chainu (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING) se nema kam vracet, proto existuje vychozi politika (default policy).
Takze to zarazeni do toho schematu by se dalo zobrazit napr takto:
|
+-----+-----+
| +------+
| | |
| | +---+----+
| INPUT | | PUB_IN |
| | +---+----+
| | |
| +------+
+-----+-----+
|
Ale nemusi to byt pravda, protoze jeden uziv chain muze klidne obsluhovat vice jinych chainu (napr. logovani muze byt v samostatnem chainu a pres tenhle logovaci chain pujdou (urcite) pakety ze vsech ostatnich chainu (defaultnich i uzivatelskych). Cil LOG (snad jsem ho neprekrtil :-) ) neni "slepy", takze se pakety budou vracet zpet do sveho puvodniho chainu.