NAT se pomocí MASQUERADE dělá u vytáčeného spojení na externím iface, v případě statické IP adresy a pevné linky na vnějším rozhraní je konstrukce tato:
iptables -A POSTROUTING -s vnitřní_IP_rozsah -o wlan0 -j SNAT --to-source vnější_IP_fw
Rozdíl je ve způsobu zacházení s timeoutem spojení v případě vytáčeného spojení - MASQUERADE v okamžiku "zhasnutí" vnějšího iface dropuje všechny stávající connections z ip_conntrack, v případě SNAT zůstanou zachovány. Kromě toho je s SNAT možné selektivně NATovat různé subnety vnitřní sítě na různé IP adresy ext. iface FW (pokud je ovšem má ;-) MASQUERADE NATuje všechno odcházející přes jmenovaný iface na jednu adresu.
Dtto dokumentace: asi nejlepší (diskutabilní, no flame pls ;-) popis iptables i s ukázkovými scripty je v "Iptables Tutorial" od Oskara Andreassona - http://iptables-tutorial.frozentux.net/.
Pardon, machruju tady a mám to špatně (vypadlo mi tam jméno chainu): iptables -t nat -A POSTROUTING -s vnitřní_IP_rozsah -o wlan0 -j SNAT --to-source vnější_IP_fw .
