2 logdog..понял я вас прекрасно
прежде чем задавать такой вопрос, я погуглил... поверьте мне
SNAT (Source Network Address Translation) — работает аналогично MASQUERADE, однако позволяет указать адрес «внешнего» интерфейса (опция --to-source). Такой подход позволяет экономить процессорное время шлюза, так как в случае с MASQUERADE для каждого пакета адрес внешнего интерфейса определяется заново.
то есть по умолчанию сделано что внешний апишнек раздается динамически выходит??