Esta regra significa:
-
faça alguns pacotes ... (quais? Aqueles que têm como fonte ( -s ) o endereço IP 192.168.XY, pertencendo a todo protocolo ( -p all )
-
... aparecem como se tivessem se originado no endereço 1.2.3.4 ( -j SNAT --to-source 1.2.3.4 ) ...
-
... e esta regra deve ocupar o primeiro ponto ( -I POSTROUTING 1 ) na fila POSTROUTING do Tabela NAT ( -t nat ).
Basicamente, a regra 3 diz onde a regra deve ser adicionada (e está correto, as regras SNAT vão para a fila POSTROUTING da tabela NAT ), a regra 2 especifica para quais pacotes ela aplica-se (basicamente, a todos pacotes da máquina com o endereço IP 192.168.XY e a todos protocolos TCP, UDP, ICMP, .... all deles, e a regra 1 especifica qual ação deve ser tomada, neste caso, reescreva os cabeçalhos dos pacotes como se os pacotes estivessem vindo não do endereço IP 192.168.XY, mas do endereço IP 1.2.3.4.
Em suma, isso é simplesmente uma regra normal de NAT para permitir que uma máquina (192.168.XY) se comunique com a Internet, mesmo que tenha um endereço IP privado e não roteável, o que o permite, de fato , com um endereço IP público roteável, 1.2.3.4.