as 4 双网卡 NAT

假如 eth0是接入公网，eth1是接入内网，下面的语句是可以的。
iptables -t nat -A POSTROUTING -o eth0 -j  MASQUERADE
如果是ADSL用户，需要稍微修改一下：
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ip route 211.147.228.33 255.255.255.255 211.147.228.8

eth0:211.147.228.8(公网)
eth1:192.168.168.1(内网)
#!/bin/sh
####START IP  FORWARD ##############
echo 1 >/proc/sys/net/ipv4/ip_forward     ### 开启数据包转发功能

iptables -F INPUT   ###刷新INPUT规则
iptables -F FORWARD ###刷新FORWARD规则
iptables -F POSTROUTING -t nat   ###刷新NAT规则
iptables -t nat -F
iptables -t nat -A POSTROUTING -i -eth1 -o eth0 -j SNAT 211.147.228.8
###  PREROUTING   是针对从外面访问进来的数据  ###
###  POSTROUTING  是针对从里面访问出去  ###

iptables -t nat -A  PREROUTING  -i eth0 -p tcp --dport 21  -d 211.147.228.33 -j DNAT  --to 192.168.168.33
iptables -t nat -A  PREROUTING  -i eth0 -p tcp --dport 80  -d 211.147.228.33 -j DNAT  --to 192.168.168.33
iptables -t nat -A  PREROUTING  -i eth0 -p tcp --dport 25  -d 211.147.228.33 -j DNAT  --to 192.168.168.33
iptables -t nat -A  PREROUTING  -i eth0 -p tcp --dport 110  -d 211.147.228.33 -j DNAT  --to 192.168.168.33

#允许ping
iptables -t nat -A  PREROUTING  -i eth0 -p icmp -s 211.155.16.9  -d 211.147.228.33 -j DNAT  --to 192.168.168.33    ###表示允许来自211.155.16.9的地址ping 服务器211.147.228.33