O SNAT target requer que você forneça um endereço IP para aplicar a todos os pacotes de saída. O MASQUERADE target permite dar a ele uma interface, e qualquer endereço nessa interface é o endereço aplicado a todos os pacotes de saída. Além disso, com SNAT , o rastreamento de conexão do kernel rastreia todas as conexões quando a interface é desativada e trazida de volta; o mesmo não é verdade para a meta MASQUERADE .
Bons documentos incluem os HOWTOs no site do Netfilter e o iptables man page .