On Wed, 29 Apr 2009 17:31:14 +0400
Roman V. Tutov wrote:

> контрукция вида
> iptables -t nat -A PREROUTING -p tcp  -d aaa.aaa.aaa.aaa --dport 3389
> -j DNAT --to-destination bbb.bbb.bbb.bbb:3389 вполне работает , но
> хочеться чтоб это правило было не для всего интернета а для
> конкретных адресов 
> собственно как ?

Я обычно делаю сперва NAT всего трафика вообще, а потом в цепочке
filter фильтрую только нужное.

> т.е я хочу указать "-dst" но для нескольких адресов

Наверное все-таки --src для нескольких адресов.

Если же именно несколько --dst (т.е. на маршрутизаторе несколько
внешних адресов), можно просто задать несколько аналогичных правил с
разными --dst