iptables -> NAT

>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LOCALNET -d ! $LOCALNET -o eth1 -j MASQUERADE

а если не всей сетки а конкретному 1му адресу?

> и неработает!
В чем это проявляется ? Как проверяли ?

то в -s указываешь не сеть а конкретный адрес =)

непингуються с локалки внешние адреса, так и проверяли.

а в -d тоже ?

Зачем -s, -d ? Правила у вас написаны правильно, я думаю проблема в чем-то другом.
ping -n 81.19.66.109 идет ? (это www.rambler.ru)
А traceroute -n 81.19.66.109 ?
На клиентских тачках в качестве шлюза по умолчанию (default route) указан ваш маршрутизатор ?
Что говорит iptables -L FORWARD -nvx ? Счетчики пакетов/байтов в указанных выше правилах не равны нулю ? Другие правила не мешают прохождению пакетов ? Что говорит tcpdump на eth0 и eth1 при посылке пакетов из локальной сети наружу ?

Первое.

Хочется поинтересоваться, зачем делать отдельно форвардинг на -s и -d, если вместе это будет iptables -A FORWARD -j ACCEPT (или просто задать ACCEPT политикой по умолчанию).

Второе.

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

-s - нехорошо. Попробуй убрать.

А что же нехорошего ? :)

А почему -j MASQUARADE ? разве на внешнем интерфейсе динамический ип ?

попробуй -j SNAT --to-source $Ext_IP

Спасибо всем кто принял участие!!!, я разобрался наконец!