Спасибо!!
Я последовал вашему примеру и вот такой скрипт действительно все маскирует
tcpdump пустой. Работает как SNAT так и MASQUERADE.#!/bin/sh
IPTAB=/usr/sbin/iptables
#LAN CONFIGURATION ------------------------------------
LAN="192.168.1.0/24"
LAN_IF="eth1"
#INET CONFIGURATION ------------------------------------
INET_IF="eth2"
# SCRIPT BODY ------------------------------------
#SETTING DEFAULT POLICY ---------------------------
$IPTAB -F
$IPTAB -X
$IPTAB -F INPUT
$IPTAB -F OUTPUT
$IPTAB -F FORWARD
$IPTAB -t nat -F
$IPTAB -t nat -X
$IPTAB -t mangle -F
$IPTAB -t mangle -X
#SET DEFAULT POLICY
$IPTAB -P FORWARD DROP
$IPTAB -P OUTPUT ACCEPT
$IPTAB -P INPUT ACCEPT
#FORWARD RULES --------------------------------------
$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state NEW -j ACCEPT
$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state ESTABLISHED -j ACCEPT
$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state RELATED -j ACCEPT
$IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state ESTABLISHED -j ACCEPT
$IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state RELATED -j ACCEPT
#NAT RULES-------------------------------------------------------------
$IPTAB -t nat -I POSTROUTING -o $INET_IF -j MASQUERADE