La tabella NAT consente (come ovvio) di impostare le regole per il nat dei pacchetti.
Anche questa tabella contiene tre code:
PREROUTING per modificare i pacchetti che dovranno essere inoltrati ad un'altra macchina, prima del processo di inoltro.
POSTROUTING per modificare i paccheti che saranno inoltrati, subito prima che vengano mandati all'interfaccia di uscita
OUTPUT per modificare i paccheti prodotti in questa macchina
Nelle regole di questa tabella potranno essere impiegate anche altre azioni:
DNAT modifica l'indirizzo di destinazione dei pacchetti e può essere usato solo nelle code PREROUTING e OUTPUT. Riciederà che si indichi anche il parametro --to-destination <indirizzo ip>[:<porta>]
MASQUERADE modifica la sorgente dei pacchetti, può essere inserito nella coda POSTROUTING e và associato ad un'interfaccia, per consentire di condividere una connessione con IP dinamico
SNAT modifica l'indirizzo di sorgente, come MASQUERADE, ma utilizzando un IP fisso, da indicare con il parametro --to-source <indirizzo ip>; può essere usato solo nella catena POSTROUTING.