Ayuda de Iptables

Tuthotep-El Negro tuthotep en gmail.com
Dom Dic 2 23:54:05 GMT 2007 

Buenas gente:

Salida ifconfig:
eth0      Link encap:Ethernet  HWaddr 00:D0:B7:16:7B:2C
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2d0:b7ff:fe16:7b2c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2822617 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7766278 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:181805465 (173.3 MiB)  TX bytes:401871921 (383.2 MiB)

eth1      Link encap:Ethernet  HWaddr 00:0E:2E:05:6E:13
          inet addr:10.35.126.99  Bcast:10.35.126.127  Mask:255.255.255.224
          inet6 addr: fe80::20e:2eff:fe05:6e13/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28031 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21203 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4205010 (4.0 MiB)  TX bytes:10767279 (10.2 MiB)
          Interrupt:10 Base address:0x2c00




Tengo una maquina que comparte dos redes y es un firewall;  Uso 
Firestarter, con retoques a mano.  Toda petición http, la re-envia a un 
web de la máquina 10.35.126.99. He permitido conexiones a un par de 
direcciones con otros puertos, y todo ok.

Pero  al hacerlo con el puerto 80 (http), las dos lineas - una en 
user-pre y otra en user-post de firestarter - que re-envian las 
peticiones http:

iptables -t nat -A PREROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport 
80 -j DNAT --to-destination 10.35.126.99-10.35.126.99:80-80
iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport 
80 -j SNAT --to-source 10.35.126.99


siguen funcionando;  O sea, necesito una execpción a ciertas ip's, para 
las dos reglas mencionadas antes.
He probado varias cosas, que fuí encontrando en google, tutorials, me 
leí las man de iptables 5 mil veces, pero no doy con ello.
Por fa, necesito una mano, mi ultimo intento fue:
//iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -d 69.72.161.58 -j 
SNAT --to-source 10.35.126.99
//iptables -A INPUT -p TCP -m state --state related -j ACCEPT
y tampoco lo conseguí..........
me estoy volviendo loco........
y las chinas me persiguen.............

GRACIAS

Más información sobre la lista de distribución ubuntu-es