Разница между SNAT и MASQUERADE при использовании iptables заключается в следующем:

1. SNAT (Source Network Address Translation) изменяет адрес и порт источника пакета. 1 Основное применение — использование единственного реального IP-адреса несколькими компьютерами для выхода в Интернет. 2
2. MASQUERADE (маскарадинг) самостоятельно получает IP-адрес от заданного сетевого интерфейса и не требует его явного указания. 1 Это удобно, если на внешнем интерфейсе используется динамический IP-адрес. 1

При этом MASQUERADE даёт более высокую нагрузку на систему, так как определяет адрес внешнего интерфейса для каждого пакета. 1

Ещё одна особенность MASQUERADE в том, что при остановке интерфейса таблица трансляций полностью очищается и все текущие соединения разрываются. 1