Почему?

-j MASQUERADE ? Это что, ppp соединение?
У меня eth, поэтому я предпочитаю SNAT
Но, в любом случае, команда у Вас странная.
Я использую такой вариант: iptabes -t nat -A POSTROUTING -o eth1 -j SNAT --to xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx - ip адрес интерфейса eth1.
Для ppp, конечно, надо использовать -j MASQUERADE. По идее его можно использовать во всех случаях, только зачем?
И не забудьте включить echo 1 > /proc/sys/net/ipv4/ip_forward (или, что то же самое, sysctl net.ipv4.ip_forward=1)

Есть у меня два компа один имеет сетевуху и модем другой только сетевуху. Итерфейс eth0 192.168.0.254 на первом компе вот через него и хочу пускать второй комп в нет.

Раньше на ядре 2.2.х у меня нормально работал ipchains и форвардинг, щас перелез на 2.4.х и надо настроить iptables.

Я читал про SNAT но понял что там нужно знать адреса --to а на диалапе динамические и как я понял нужно использовать MASQUERADE :)

Ну хорошо если задам команду iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.0.254 то второй комп под виндозой сможет вийти в нет? у него адрес 192.168.0.1

Завтра потестирую все это, а то щас все спят :)

Задам вопрос несколько по другому :)

Как замаскарадить внутренюю сеть 192.168.0.0/24 которая должна работать через шлюз на диалапе?

Чтоб просто работало, должно хватить этого:

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT

/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.1/255.255.255.0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.1/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Спасибо буду разбиратся дальше :)

SNAT можно использовать и для ppp при условии что ip выдается один и тот же каждый раз, у меня DSL модем, ip получаю динамически, все натится через SNAT