Iptables часто иллюстрируется диаграммой
Я не понимаю, когда выполняется поиск маршрута (таблицы маршрутизации):
Путаница с этой диаграммой состоит в том, что не все «решения о маршрутизации» одинаковы. Один после "nat PREROUTING" - это простой выбор локально / удаленно; если место назначения пакета локальное, он идет влево, а если он удален, он идет вправо. Поиск в таблице IP-маршрутизации для определения следующего перехода пакета - это решение перед "искажением POSTROUTING". Честно говоря, я не уверен, что стоит за «локальным процессом»; даже кольцевой трафик проходит через сетевой фильтр. Возможно, это для не-IP-трафика (который вообще не проходит через iptables), но это дикая догадка.