Всеволод Мартыненко пишет:
> А почему не SNAT? Это же запросы из внутренней сети Вы перенаправляете?
>
> 6 мая 2008 г. 13:38 пользователь Денис Ягофаров <denyago@rambler.ru 
> <mailto:denyago@rambler.ru>> написал:
>
>     Использую
>     правила на роутере:
>     # iptables -t nat -A PREROUTING -i 192.168.0.0/16
>     <http://192.168.0.0/16> -p tcp --dport 80 -j DNAT --to
>     10.3.0.5:3128 <http://10.3.0.5:3128>
>     # iptables -t nat -A PREROUTING -i 192.168.0.0/16
>     <http://192.168.0.0/16> -p tcp --dport 21 -j DNAT --to
>     10.3.0.5:3128 <http://10.3.0.5:3128>
>
>     Что я забыл?
>
хм...
# iptables -t nat -A PREROUTING -i 192.168.0.0/16 -p tcp --dport 21 -j 
SNAT --to 10.3.0.5:3128
iptables: Invalid argument

Согласно http://ru.wikipedia.org/wiki/Netfilter :
*nat* — просматривает только пакеты, создающие новое соединение 
(согласно системе определения состояний). Поддерживает действия /DNAT/, 
/SNAT/, /MASQUERADE/, /REDIRECT/. Содержит цепочки /PREROUTING/, 
/OUTPUT/, и /POSTROUTING

У меня роутер живёт в OVZ контейнере, может ему не хватает модулей? Хотя 
в конфиге ему указано:
IPTABLES="iptable_filter iptable_nat "
/