export WANIF=ens33	# "NAT" ou "Pont" sur VMware Fusion
export LANIF=ens38	# "Hôte uniquement" sur VMware Fusion

# configurer ET lancer un   ping -n 8.8.8.8   depuis le poste "client"

iptables -t nat -A POSTROUTING -o $WANIF -j MASQUERADE 

sysctl net.ipv4.ip_forward=1

SI "blocage" (par défaut) des paquets dans la chaîne FORWARD (iptables -P FORWARD DROP) ALORS :
    iptables -A FORWARD -i $WANIF -o $LANIF -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i $LANIF -o $WANIF -j ACCEPT
(trouvé dans https://www.revsys.com/writings/quicktips/nat.html)

Le blocage des chaînes INPUT et FORWARD sur le "client" ne pose aucun souci :
    iptables -P INPUT DROP
    iptables -P FORWARD DROP

SI l'on ajoute une règle pour accepter les paquets entrants qui correspondent à des communications déjà établies :
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

	ATTENTION : AJOUTER AUSSI ! (L'ordre ne semble pas avoir d'importance)
		iptables -A INPUT -i lo -j ACCEPT
		iptables -A INPUT -i $LANIF -j ACCEPT

Le blocage (supplémentaire) de la chaîne INPUT sur le "relais" ne pose pas plus de souci...
    iptables -P INPUT DROP
SI l'on ajoute une règle pour accepter les paquets entrants qui correspondent à des communications déjà établies :
    iptables -A INPUT -i $WANIF -m state --state RELATED,ESTABLISHED -j ACCEPT
Cela s'explique d'autant mieux, dans le cas des "clients" NAT, que leurs paquets passent par la chaîne FORWARD (et n'arrivent pas sur la chaîne INPUT du "relais"). 

Si l'on cherche à protéger au maximum le "relais", l'on peut vouloir bloquer par défaut les paquets sortant de la chaîne OUTPUT :
    iptables -P OUTPUT DROP
Il est nécessaire dans ce cas d'accepter que les communications émanant du "relais" lui-même soient possibles, avec la règle :
    iptables -A OUTPUT -o $WANIF -m state --state NEW,ESTABLISHED -j ACCEPT