>[оверквотинг удален]
> или он оставляет только какой-то один на выходе из PREROUTINGа?
> Как тогда это обойти? Мне бы и POSTROUTING подошел, но там вроде
> нельзя DNAT. Возможно вместо первого DNAT нужно отдельный прокси разворачивать, какой
> тогда лучше?
> (пробовал squid, но на него моих знаний или мощности не хватает, все
> виснет).
> Или есть какое-то более простое решение?
> Вроде простая задача, примерно как у любого провайдера при нулевом балансе открывается
> домашняя страница с предупреждением,
> но мне это еще нужно через дополнительную сеть пустить.

Если правило подошло по критериям, то действия ACEPT, DROP, REJECT отрабатывают и дальнейшие правила в не рассматриваются, это точно. Для действия DNAT видимо тоже самое, дальше пакет попадает наверное в цепочку FORWARD.