"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

Шаг: 8
Таблица: mangle
Цепочка: POSTROUTING
Примечание: Эта цепочка предназначена для внесения изменений в
заголовок пакета уже после того как принято последнее решение о
маршрутизации.

Шаг: 9
Таблица: nat
Цепочка: POSTROUTING
Примечание: Эта цепочка предназначена в первую очередь для Source
Network Address Translation. Не используйте ее для фильтрации без особой на
то необходимости. Здесь же выполняется и маскарадинг (Masquerading).

Шаг: 10
Таблица: -
Цепочка: -
Примечание: Выходной сетевой интерфейс (например, eth1).

Шаг: 11
Таблица: -
Цепочка: -
Примечание: Кабель (пусть будет LAN).

Как вы можете видеть, пакет проходит несколько этапов, прежде чем он
будет передан далее. На каждом из них пакет может быть остановлен, будь то
цепочка iptables или что либо еще, но нас главным образом интересует
iptables. Заметьте, что нет каких либо цепочек, специфичных для отдельных
интерфейсов или чего либо подобного. Цепочку FORWARD проходят ВСЕ пакеты,
которые движутся через наш брандмауэр/ роутер. Не используйте цепочку INPUT
для фильтрации транзитных пакетов, они туда просто не попадают! Через эту
цепочку движутся только те пакеты, которые предназначены данному хосту!
А теперь рассмотрим порядок движения пакета, предназначенного
локальному процессу/приложению:
Таблица 3-2. Для локального приложения
(Шаг - Таблица - Цепочка - Примечание)

Шаг: 1
Таблица: -
Цепочка: -
Примечание: Кабель (т.е. Интернет)

Шаг: 2
Таблица: -
Цепочка: -
Примечание: Входной сетевой интерфейс (например, eth0)

Шаг: 3
Таблица: mangle