"Reenvío de IP" es sinónimo de "enrutamiento". Se llama "reenvío de IP del kernel" porque es una función del kernel de Linux.
Un enrutador tiene múltiples interfaces de red. Si el tráfico ingresa en una interfaz que coincide con una subred de otra interfaz de red, un enrutador reenvía ese tráfico a la otra interfaz de red.
Entonces, supongamos que tiene dos NIC, uno (NIC 1) está en la dirección 192.168.2.1/24 y el otro (NIC 2) es 192.168.3.1/24. Si el reenvío está habilitado y entra un paquete en la NIC 1 con una "dirección de destino" de 192.168.3.8, el enrutador reenviará ese paquete fuera de la NIC 2.
Es común que los enrutadores que funcionan como puertas de enlace a Internet tengan una ruta predeterminada en la que cualquier tráfico que no coincida con ninguna NIC pasará por la NIC de la ruta predeterminada. Entonces, en el ejemplo anterior, si tiene una conexión a Internet en NIC 2, configuraría NIC 2 como su ruta predeterminada y luego cualquier tráfico proveniente de NIC 1 que no esté destinado a algo en 192.168.2.0/24 irá a través de la NIC 2. Es de esperar que haya otros enrutadores más allá de la NIC 2 que puedan enrutarlo más (en el caso de Internet, el próximo salto sería el enrutador de su ISP y luego el enrutador ascendente de sus proveedores, etc.)
Habilitando ip_forward le dice a su sistema Linux que haga esto. Para que sea significativo, necesita dos interfaces de red (2 o más tarjetas NIC cableadas, tarjetas Wifi o conjuntos de chips, enlaces PPP a través de un módem de 56k o serie, etc.).
Al enrutar, la seguridad es importante y ahí es donde está el filtro de paquetes de Linux, iptables , se involucra. Entonces necesitarás un iptables configuración consistente con sus necesidades.
Tenga en cuenta que habilitar el reenvío con iptables deshabilitado y/o sin tener en cuenta el firewall y la seguridad podría dejarlo expuesto a vulnerabilidades si una de las NIC está frente a Internet o una subred sobre la que no tiene control.
Cuando está habilitado, el "reenvío de IP" permite que una máquina Linux reciba paquetes entrantes y los reenvíe. Una máquina Linux que actúe como un host ordinario no necesitaría tener habilitado el reenvío de IP, ya que solo genera y recibe tráfico de IP para sus propios fines (es decir, los fines de su usuario).
Sin embargo, hay casos en los que el reenvío de IP es útil:1. Queremos que nuestra máquina actúe como un enrutador, recibiendo paquetes de otros hosts y enrutándolos hacia su destino.2. Somos tipos malos y queremos suplantar a otra máquina en un llamado "ataque de hombre en el medio". En este caso, queremos interceptar y ver todo el tráfico dirigido a la víctima, pero también queremos reenviarle este tráfico para que no "sienta" nuestra presencia.