Ситуация такая ... есть сервер на Debian на котором поднято DHCP для раздачи айпишников в локалку и VPN соединение для доступа в инет,т.е получаем следущее
eth0 : 192.168.0.1 - статически прописан , адрес сервера для локалки
eth1 : 10.32.17.58 - ip адрес сервера для большой корпоративной сети
ppp0: 10.230.32.213 - поднятый VPN интерфейс для выхода сервера в инет
локальная сеть вот с таким диапазоном 192.168.0.0/24 ... вопрос вот в чем :
1)Надо сделать так что бы из локалки машины с ип 192.168.0.1-18 выходили в инет через ppp0 соединение на сервере,т.е все входящие соединения с этих ip через нат шли в инет

iptables -t nat -A POSTROUTING -p tcp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213
iptables -t nat -A POSTROUTING -p udp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213
iptables -t nat -A POSTROUTING -p icmp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213

решил это вот таким способом

2)Так же вся локалка должна видеть и могла общаться с большой корпоративной сетью, решил это таким способом :

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58
iptables -t nat -A POSTROUTING -p icmp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58

3) И самая большая проблема с которой никак не могу разобраться ,любой пользователь локальной сети 192.168.0.0/24,кроме тех у кого ip адрес находиться в диапазоне 192.168.0.2-18 ( потому что они автомат выходят в инет через соединение ppp0 с помошью NAT) , мог подключиться к VPN сереверу большой корпоративной сети и выйти в интернет

настроить сервер и раздавать инет по ip адресам. в чем проблема то? 1 класс "сисадминской школы"