Ваш пакет с запросом к интернет ресурсу имеет 2 поля (которые для нас имеют сейчас значение) - это ip_destination и ip_source. Первый из них адрес самого ресурса, второй - адрес пользователя, который не совсем вписывается в общее адресное пространство интернета, так как входит, в так называемый, приватный сектор ("серые" адреса). А значит интернет-сервер ресурса не будет знать куда отсылать ответные пакеты.
Пользователь выходит через какой-то шлюз, у которого есть публичный ("белый") IP-адрес. Так вот задача шлюза подменить ip_source пользователя, на свой "белый" IP-адрес, не забыв потом с ответным пакетом сделать обратную процедуру. Он как бы маскирует пользователя своим интерфейсом.
Этот механизм называется Network Address Translation (NAT), а в простонародии - "маскарадинг", которое видимо родила команда MASQUERADE в правилах netfilter.