значит такая ситуевина :
юзаем NAT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d Х1 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -s Х1 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d Х1 -j MASQUERADE
и тд , где X - это списки сетей к которым есть полный ( NAT ) доступ для клиента .
Для тех кто круче юзается
/sbin/iptables -A FORWARD -s KL_IP -d 0/0 -j ACCEPT
/sbin/iptables -A FORWARD -d KL_IP -s 0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s KL_IP -d 0/0 -j MASQUERADE
С реальными ИП адресами ситуация такая :
sbin/iptables -A FORWARD -s IP_kl -d 0/0 -j ACCEPT
sbin/iptables -A FORWARD -d IP_kl -s 0/0 -j ACCEPT
Все политики по умолчанию - DROP .
+ поднят роутинг при помощи iproute на основании src IP .
eth0 - интерфейс смотрящий в нэт
eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .
Ну , вобщем народ борзый , ктото флашгетами , а ктото доблестными вирусняками .... напрягает канал . Неограниченое число пакетов - не есть хорошо . Надо резать . Дык вот я никак не могу врубиться - куда мне нужно вписать правильно правило для ограничения пакетов ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО - и как его правильно вписать ? (например дать кадому клиенту 3 пакета в сек , и кстати - какой оптимальный вариант для кошерного юзанья IE ? )