Насколько я помню (года 3 назад это делал) вместо IP-шки указывал маску...естесственно нужно чтоб только эти машины попадали под маску...(у меня было проще, по отделам раздал IP-шки согласно маске а потом захотел включил поддержку того-то захотел выключил)

[quote=Morph]Правило для включения NAT такое :
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.2

Понятно, чтобы 1 машину не натить надо просто:
iptables -t nat -A POSTROUTING -o eth0 -s ! 192.168.1.1 -j SNAT --to-source 192.168.0.2

А если машин более чем 1 =) ?
[/quote]
А если
iptables -t nat -I POSTROUTING -s x.x.x.x -j ACCEPT
...
?

[quote=sn355] А если
iptables -t nat -I POSTROUTING -s x.x.x.x -j ACCEPT
...
?
[/quote]
Это ты просто пропускаешь правило через таблицу nat

самое простое правило -
iptables -A POSTROUTING -t nat -j MASQUERADE
пропускает все и вся через любой интерфейс.
можно обвесить это правило дополнительными ограничениями, солить, перчить по вкусу.

а вообще есть замечательное руководство по iptables на русском языке http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
RTFM короче
<span class='smallblacktext'>[ Редактирование 23.08.2005 - 11:15:44 ]</span>

[b]Morph[/b], а для каждого отдельного хоста выставлять правила NAT не пробовал ?
вроде как так:
[blockquote][color=green]iptables -t nat -A POSTROUTING -o eth0 -s x.x.x.1 -j SNAT --to-source 192.168.0.2
iptables -t nat -A POSTROUTING -o eth0 -s x.x.x.2 -j SNAT --to-source 192.168.0.2
iptables -t nat -A POSTROUTING -o eth0 -s x.x.x.3 -j SNAT --to-source 192.168.0.2
[/color][/blockquote]
или например фильтровать всех желающих в FORWARD'е ?
так:
[blockquote][color=green]iptables -A FORWARD -o eth0 -s x.x.x.1 -j ACCEPT
iptables -A FORWARD -o eth0 -s x.x.x.2 -j ACCEPT
iptables -A FORWARD -o eth0 -s x.x.x.3 -j ACCEPT
iptables -A FORWARD -o eth0 -j DROP[/color][/blockquote]