это правило используется не для этого
правило, которое ты описал словесно выглядит примерно так

iptables -t nat -A POSTROUTING -p tcp --src 192.168.0.2 --sport 3389 -j SNAT --to-source 208.77.188.166

вникай глубже, объясняй полнее...

легче показать

http://interface31.ru/tech_it/2010/08/ubuntu-server-nastraivaem-forvarding-po...

Из статьи

# форвардинг 3389 iptables -t nat -A PREROUTING -p tcp -d 192.168.64.134 --dport 3389 -j DNAT --to-destination 10.0.0.2:3389 iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.2 --dport 3389 -j SNAT --to-source 192.168.64.134

вторая строка подменяет адрес отправителя на внешний. Но почему используется во второй строке --dst, а не -s ключ? Ведь 10.0.0.2 источник пакета?

Как я понял, это чтобы попадать на сервер по внешнему IP не только из вне, но и из локальной сети, все это для входящих пакетов. Тут лучше настроить на роутере форвард на xinetd, логи на роутере хоть какие будут, если iptables, то и логи им-же настраивать нужно. После этих махинаций на севвере терминалов не увидишь кто к тебе ломился, везде твой внешний адрес (или внутренний роутера с xinetd).

А вообще полно официальных руководств, HOWTO..., не читайте советских газет перед обедом, вредно для пищеварения.

>Ведь 10.0.0.2 источник пакета?

нет. это назначения пакета после сделанного DNAT

iptables

>нет. это назначения пакета после сделанного DNAT

вы не могли бы объяснить подробнее

почитай документацию по iptables. Конкретно - «Руководство по IPTABLES», перевод можно найти на opennet. Я тоже много чего не вкуривал: после прочтения все вопросы отпали

Ты прав, там должно быть, естественно src. В статье ошибка, необходимый и достаточный мануал находится здесь http://ru.wikibooks.org/wiki/Iptables