Viszont a router-re érkező (neki szánt) forgalom nem a forward chain-en megy keresztül (ahol a két subnet gépei közötti forgalom), hanem az input chain-en érkezik, szóval attól még, hogy a két subnet gépei tudnak beszélni egymással a forward chain megengedő tűzfalazása következtében, attól még maga a router lehet teljesen zárt akár mindkét (vagy bármelyik) oldalról (és konzolról, vagy egy harmadik lábról konfigolod).
A FORWARD chain a router-en átmenő forgalom (ami nem a router-nek szól)
Az INPUT chain a router-re érkező forgalom (ami a router-nek szól)
Az OUTPUT chain pedig a router-ről induló (a router által generált) forgalom