Мангл, прераутинг или форвард, NAT...

Привет, извини, если буду спрашивать очевидное для большинства из вас, но я перечитал кучу тем, связанных с mangle/p2p, и не нашёл достаточно понятного ответа на следующее: какую цепочку использовать для mangle – prerouting или forward, и какие последствия в случае использования NAT (masquerading network)? Вот как я понимаю этот вопрос: когда сеть не NATted, всё просто с packet-marks. А вот когда сеть NATted, нам нужна возможность отслеживания соединений (conntracking), и нужно сначала помечать соединения. Я правильно понимаю? Тогда я вижу несколько подходов – одни используют цепочку forward для пометки, другие – prerouting. Например, на нашем роутере, если я пометил p2p в цепочке forward, то для исходящего трафика отображалось 0 (Simple queue). Когда я изменил mangle rules на prerouting chain, то стало отображаться некоторое количество трафика, проходящего через конкретную SQ. Я правильно подозреваю, что pre(post)routing происходит до применения NAT, а цепочка forward вызывается уже после NAT? Но мне интересно, есть ли какая-то разница между SQ и QT, и когда/где они происходят? Я смотрю на схему flow-diagram, но пока безуспешно представляю, что происходит и где… Спасибо хоть за небольшие подсказки, Петр.