Esta funcionalidad suele utilizarse para permitir el acceso a Internet desde las máquinas de una LAN, pasando por un gateway. Configurando enmascaramiento en el gateway, el acceso desde las otras máquinas es completamente transparente y no necesita de proxies.

Básicamente, IP-Masqueranding traduce direcciones IP internas en direcciones IP externas. Este proceso se llama Traducciones de Direcciones de Red (NAT) y Linux hace esto mediante los llamados números de puerto. Desde el exterior, todas las conexiones parecen haberse originado desde tu máquina Linux.

La intención es que cualquier paquete proveniente de una máquina de la LAN que quiera salir a Internet, es reconstruido en el gateway para salir con la dirección IP del gateway. Cuando llega una respuesta el gateway la reconstruye y la envía a la maquina de origen. Esto nos permite que nuestra LAN utilice direcciones IP privadas (por ej. 10.x.x.x) que están prohibidas en Internet, sin que puedan ser vistas "desde afuera". Un potencial atacante solo podría atacar nuestro gateway (que es donde deberemos esforzarnos con la seguridad).