Есть сеть, выходящая в инет через маскарадинг (iptables) Есть пользователи со своей структурой (в зависимости он номера офиса ;) ip адресов. Каждый используемый ip прописан и в прямой и в обратной зоне dns. Задача маскарадить только те ip адреса, записи о которых есть в dns. Ip адреса в одной сети 10.0.2.0, но заняты не все. Нужно для того, чтобы наглый пользователь не прописывал себе свободный ip и не залезал полуанонимно в инет. Можно прописать правила для каждого ip в таблицу nat, но это больно уж геморно. Хотя, возможно, другого варианта и нет.