Проверил (то, что писал в предыдущем посте) - работает на УРА.
Спасибо NiTr0 за участие и за подсказки, которые навели на нужные мысли.
Routing table
эххх... ну чего ж вы все к таблице nat то прицепились не наведя порядок в таблице filter? 
Так-то оно работать будет но через ж@пу однако 
правило
Ну что мешает сделать в цепочке FORWARD таблицы filter политику DROPи разрешающие правила:и всё! и тогда в табдице nat достаточно простобез всякой привязки к каким бы то ни было адресам!
ну а если уж совсем культурно по отношению к клиентам то добавить и такое:
Так-то оно работать будет но через ж@пу однако правилоговорит только о том, что пакеты из сети 10.10/16 действительно будут маскарадится на ип ифейса ппп0 и всё! а остальные пакеты??? они же будут пропускаться файерволом дальше если их не остановить в таблице filter! просто с нетранслированными адресами! и грузить внешний канал... не говоря уже о том что я б на месте прова за такое за я@ца бы подвесилiptables -t nat -A POSTROUTING -s 10.10.0.0/16 -o ppp0 -j MASQUERADE
Ну что мешает сделать в цепочке FORWARD таблицы filter политику DROP
Код: Выделить всё
iptables -P FORWARD DROPКод: Выделить всё
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp+ -o ppp0 -j ACCEPTКод: Выделить всё
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADEну а если уж совсем культурно по отношению к клиентам то добавить и такое:
Код: Выделить всё
iptables -A FORWARD -p tcp -m tcp -j REJECT --reject-with tcp-reset
iptables -A FORWARD -j REJECT --reject-with icmp-admin-prohibitedЛюбой тупик - это тщательно замаскированный выход.
