Теретический вопрос по iptables, опция -o

[greezol]

Таблица маршрутизации ядра, прописываемая route, имеет для iptables только справочное значение, или iptables ее тоже может менять?
Параметр "-o" в man указан как одна из опций совпадения при выборке пакетов. Значит в POSTROUTING она не определяет выходной интерфейс для пакетов (указанных в других опциях той же команды), а просто отбирает их? Если это так, значит например, маршрутизацию c NAT между двумя сетками (eth0,eth1; или eth0,ppp0, неважно) одной iptables не настроить без прописывания маршрутов IP<->if командой route?

И еще вопросик: есть POSTROUTE и FORWARD. Часто в параметрах правил и той и другой цепочки можно увидеть опцию "-o". Для транзита и только транзита пакетов - есть ли разница, в какой из цепочек задать опцию -o для определенных пакетов?

Еще один назрел: прописывая маскарадинг, мы задаем подмену SourcAddr<-GateWayADR, это в один конец - из сетки вовне. А при поступлении ответных пакетов маскарадинг сам подменяет нужные адреса?

[Mam(O)n]

Всё правильно - мухи отдельно, котлеты отдельно: iptables для таблиц межсетевого экрана, route для таблиц маршрутизации..

По второму вопросу. Фильтрацию трафика делают как правило только в таблице filter, для транзита это цепочка FORWARD. Как бы это странно не звучало, но NAT настраивают в таблице nat. Правку служебных полей в пакетах делают в таблице mangle.

По третьему, за это отвечает подсистема с говорящим названием - conntrack.

[greezol]

Благодарю теперь все предельно ясно