> Это утверждение касается порядка фильтрации трафика на одном интерфейсе. В твоем случае, как правило, используется такой вариант: фильтрация производится на том интерфейсе, который смотрит во внутреннюю сеть 192.168.1, а трансляция производится на внешнем интерфейсе.
Интересно, а почему фильтрация пакета происходит в таком порядке? Не лучше ли было бы как в iptables фильтровать транзитные пакеты в порядке dnat-filter-snat?
> Можно редиректить отфильтрованный траффик внутр. сети во внешний мир на дополнительный loopback-интерфейс и на нем делать трансляцию. Это по-моему самый быстрый вариант.
Может проще маркировать транслируемые пакеты для последующей фильтрации на основе значения tag? Тут главное, чтобы другие правила случайно не заменили маркер.