История изменений

ИМХО, вы дали ссылку на неправильную картинку. На википедии уже исправили: https://en.wikipedia.org/wiki/Iptables#/media/File:Netfilter-packet-flow.svg в соответствии с тем, что написано по ссылке anc https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#TRAVERSING... . То есть ″reroute check″ должен быть после ″nat OUTPUT″ (иначе как бы работал DNAT исходящих локальных пакетов).

И где-то ещё должен быть блок изменения ip-адресов ответных NAT-пакетов (stateful NAT)...

ИМХО, вы дали ссылку на неправильную картинку. На википедии уже исправили: https://en.wikipedia.org/wiki/Iptables#/media/File:Netfilter-packet-flow.svg в соответствии с тем, что написано по ссылке anchttps://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#TRAVERSINGOFTABLES . То есть ″reroute check″ должен быть после ″nat OUTPUT″ (иначе как бы работал DNAT исходящих локальных пакетов).

И где-то ещё должен быть блок изменения ip-адресов ответных NAT-пакетов (stateful NAT)...