При общении клиент1 - клиент2 роутер не участвует, т.к. клиенты находятся в одной сети и будут общаться напрямую друг с другом.
Клиент1-Роутер - порядок верный, сначала Prerouting, потом input в обоих случаях
ARP layer - судя по схеме обрабатывается когда приходит пакет не из бриджа и это ARP-запрос.
Пакет будет проходить все цепочки до тех пор, пока не обработается каким-либо терминирующим правилом - аксепт или дроп.
Пакет попадает в ту или иную цепочку в зависимости от адреса назначения и входного интерфейса роутера
