статический DNAT и SNAT по маске?

ты о чем?

Для одного так: iptables -t nat -A OUTPUT -d 169.253.68.X -j DNAT --to-destination 192.168.1.X А для 254-х остальных? (Нужно, чтобы последний байт - X оставался тем же самым) Пробовал: iptables -t nat -A OUTPUT -d 169.253.68.0/24 -j DNAT --to-destination 192.168.1.0/24 - ругается, пробовал: iptables -t nat -A OUTPUT -d 169.253.68.0/24 -j DNAT --to-destination 192.168.1.1 - 192.168.1.254 - присвает последнему байту случайное значение (в HOWTO написано, что интеллектуальным образом с целью балансировки нагрузки)

Отдельное правило для каждого адреса.

#!/bin/bash

for X in `seq 1 254`; do
    echo iptables -t nat -A OUTPUT -d 169.253.68.${X} -j DNAT --to-destination 192.168.1.${X}
done


Устроит?

А что вы этим выигрываете? Проще сразу раздать реальные адреса.

-j NETMAP

А не проще разрешать из одной подсети в другую - зачем нужен этот последний байт?

Подробнее про NETMAP:

The CONFIG_IP_NF_TARGET_NETMAP provides a target for the nat table. It creates a static 1:1 mapping of the network address, while keeping host addresses intact. It can be applied to the PREROUTING chain to alter the destination of incoming connections, to the POSTROUTING chain to alter the source of outgoing connections, or both (with separate rules).

Examples:

iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24

iptables -t nat -A POSTROUTING -s 5.6.7.0/24 -j NETMAP --to 1.2.3.0/24

Цель NETMAP становится доступной после наложения patch-o-matic.

По моему, такие преобразования один-к-одному блоков адресов -- типичный случай для использования route nat, который надо настраивать через /sbin/ip. Читай документацию к пакету iproute2.