O Netfilter mantém informações de rastreamento sobre o que você envia para a meta MASQUERADE . Quando as respostas correspondentes (pacotes) são recebidas, elas estão sujeitas à tabela nat . O caminho para pacotes de entrada que se movem pela tabela nat é o seguinte:
1. ingress at router external interface
2. nat - PREROUTING
a. convert external IP to internal IP
3. nat - POSTROUTING
4. egress at router internal interface
5. ingress at internal computer interface
O DNAT é executado na cadeia PREROUTING da tabela nat . Se a fonte original dos pacotes for um computador interno em sua LAN, os pacotes não passarão pela tabela filter do roteador porque são reconhecidos como pacotes NAT 'anterior com base em seus IPs de origem e de destino. No entanto, se o seu roteador era a fonte original e os pacotes são destinados ao próprio roteador, eles passariam pela tabela filter do roteador.