Zmiana adresów w SNAT i DNAT.

Witam. Mam problem ze zrozumieniem tworzenia reguł SNAT/DNAT w iptables.

Mianowicie w SNAT sprawa jest logiczna:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 85.121.34.1

Pakiet wychodzący z LAN ma podany interfejs którym ma polecieć na świat (-o eth0) oraz IP jakie ma przyjąć (--to 85.121.34.1) Domyślam się, że musi to być IP przypisane do wcześniej podanego eth0. Jest to względnie jasne.  Pakiet leci z podmienionym IP na świat.

-Nat-omiast DNAT ze sposobu w jaki go opisano w jednym arcie nie rozumiem. Oto reguła:

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 10.10.0.5

Pakiet zanim zostanie skierowany do celu w sieci wew. ma zamienione IP na 10.10.0.5.
Na sztywno - więc co jeśli proces SNAT zapoczątkowała maszyna o wew. ip 10.10.0.7?
Natomiast jeśli podana zostanie maska w opcji --to, to w jaki sposób
iptables dowie się gdzie skierować w sieci wew. pakiet - przecież miał podmienione IP
na zew. przed wyjściem i nie ma w nim informacji od kogo pochodził.

Jak to przeskoczyć? co źle rozumiem?

Czy nie odpowiada za to mechanizm SNAT/DNAT sam w sobie?