Názor k článku nftables: příklad konfigurace firewallu a vzorové situace od Michal Kubeček - Máte pravdu, je to pořád stavový NAT, takže...

Máte pravdu, je to pořád stavový NAT, takže lookup v conntrack tabulce se samozřejmě provádí úplně stejně jako u masquerade. Jediné, co se ušetří, je route lookup v okamžiku, kdy se překládá první paket (ten, který způsobí vytvoření položky v conntrack tabulce), protože místo "adresa odchozího rozhraní" by přesněji mělo být "stejná zdrojová adresa, jako by se použila, kdybychom ten paket posílali sami". Pro další pakety už je to pak úplně stejné.

Dá se udělat i bezstavový NAT, ale je to trochu komplikovanější (viz příklad na konci) a je potřeba se pak postarat i o překlad paketů v opačném směru.