NAT

man iptables на предмет опции "-s"

т.е. надо добавить следующие строчки?
IPTABLES -A OUTPUT -p ALL -s IP_ADDRESS_0 -j ACCEPT
IPTABLES -A OUTPUT -p ALL -s IP_ADDRESS_1 -j ACCEPT
...
IPTABLES -A OUTPUT -p ALL -s IP_ADDRESS_n -j ACCEPT
А INPUT надо прописывать?

Протупил. В INPUT только порты.

Таким образом NAT не получится. Читай дальше man iptables о действиях SNAT и MASQUERADE.

Или тебе NAT и не нужен?

Как сделать NAT для локальной сети, я знаю. Мне надо, чтобы  инет был только для определенных IP через NAT. Вышеприведенных строчек достаточно? 
P.S. SNAT и MASQUERADE - это ведь практически одно и тоже. SNAT для статического адреса, MASQUERADE для динамического (и вроде как сильнее грузит
систему). У меня внешний адрес статический.

> Вышеприведенных строчек достаточно?

А как вышеприведённые строчки (с OUTPUT) относятся к пакетам, которые будут NAT'иться? А никак, потому что правило OUTPUT касается только пакетов, которые генерируются локальными процессами на шлюзе.

Чтобы лучше это понять, посмотри на картинку: http://ebtables.sourceforge.net/br_fw_ia/bridge3a.png

А если так: IPTABLES -A FORWARD -p ALL -s IP_ADDRESS_0 -j ACCEPT

Или можно прописать IP'шники прямо в таблице NAT? iptables -t nat -A POSTROUTING -s IP1...IP10 -o eth0 -j SNAT --to-source $INET_IP

Можно и так, и так, только не забудь прописать запрещающие правила. Вот видишь, сам догадался ;)

Картинка многое объяснила. Большое спасибо за помощь.

Пожалуйста :)

Вот, кстати, более подробная картинка с таблицами и цепочками: http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png

Ужос, нах.

http://iptables-tutorial.frozentux.net/