> internet -> PREROUTING nat (regula DNAT) -> FORWARD filter si apropos, dupa cum am aflat si eu acum vreo cateva luni de pe lista, doar primul pachet (SYN-ul) trece prin lantul de prerouting/postrouting (adica prin tabela nat); mai departe, urmatoarele pachete din conexiunea respectiva vor aparea ca din categorian conntrack, si le vei putea vedea numai pe FORWARD (eventual INPUT/OUTPUT daca se refera chiar la masina locala)
Alex
