A confusão com esse diagrama é que nem todas as "Decisões de Roteamento" são criadas iguais. Aquele após "nat PREROUTING" é uma simples escolha local / remota; se o destino do pacote é local, ele vai para a esquerda e, se for remoto, vai para a direita. A consulta da tabela de roteamento IP, para determinar o próximo salto do pacote, é a decisão antes do "mangle POSTROUTING". Eu sinceramente não tenho certeza do que é aquele depois de "processo local"; mesmo o tráfego de loopback passa pelo netfilter. Talvez seja para tráfego não-IP (que não passa pelo iptables), mas isso é um palpite.