>Здравствуйте! проблема состоит в следующем.
>Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за
>пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы
>с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом
>надо заблокировать на рутере тех кто пользоваться проксей не должен.
>---------
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT
>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports
>3128 -j DNAT --to-destination 10.11.0.224
а зачем -m multiport? в чем тайны смысл? использовать мультипорт и один порт
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j
>SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp  --dport 3128
>-j DNAT --to-destination 10.10.1.222
>---------
>С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128
>попадают на 10.10.1.222, все в порядке но проблема в том что
>доступ нужен к проксе только 4-ем компам в сетке как заблокировать
>остальные машины и оставить только эти 4-ре?

есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно на компах клиентов инет, вообщем просто придумать что именно больше подходит

вместо вот этого
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT

пишешь

$IPTABLES -A FORWARD -p tcp -s 10.1.1.10 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.16 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.17 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.216 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j REJECT

>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp  --dport 3128 -j DNAT --to-destination 10.10.1.222