Почему SNAT происходит в цепи POSTROUTING, а DNAT в цепи PREROUTING?
Вы должны попросить apt-get переустановить его:
apt-get --reinstall install libturbojpeg0:amd64
При выполнении любых манипуляций с пакетами в Linux обычным путем с точки зрения цепочек является PREROUTING, который является первой цепочкой, а POSTROUTING, является последней цепочкой в пути пакета. Существует множество конфигураций, которые обычно есть у маршрутизатора, которые даже включают некоторые преобразования, такие как выбор туннеля IPsec VPN для определенного потока. Обычно с SNAT цель состоит в том, чтобы отправить пакет с адресом, который может быть достигнут хостами, подключенными к общедоступной сети. Такие изменения вносятся в пакет, когда он собирается покинуть маршрутизатор, то есть на уровне POSTROUTING непосредственно перед OUTPUT, чтобы избежать смешивания IP-адресов. Точно так же и в обратном направлении первое, что ожидает маршрутизатор, — это увидеть фактический поток, чтобы все решения в соответствии с конфигурациями могли быть применены по мере прохождения пакета через стек. Это может быть достигнуто только в том случае, если мы проведем DNAT на самом раннем уровне, который называется PREROUTING.
Еще одна хорошая схема в ASCII, которая может помочь понять, как это работает, новичкам удобно иметь ее в консоли при работе с правилами iptables:
#
# (PACKET IN)->-[PREROUTING]->- ->----------->-[FORWARD]->------------>- ->-[POSTROUTING]->-(PACKET OUT)
# -mangle | -mangle | -mangle
# -nat (dst) | -filter | -nat (src)
# | |
# ->-[INPUT]->-(APPLICATION)->-[OUTPUT]->-
# -mangle -mangle
# -filter -filter
# -nat (dst)
#
(*Отредактировано с учетом комментариев ниже...)