Szvsz próbáld meg az SNAT éd DNAT targeteket: a LAN-od kiálasztott egyes gépeinél a kimenő csomagoknak a source adressét változtasd a publikus tartomány valamelyik cuccára, visszafelé meg vissza a megfelelő LAN-os IP-re. Akkor lesz 9 géped, mindegyiknek külön-külön kvázi publikus IP-je, a maradék 11 meg osztozik a maskarázott IP címen.

Vagy most nézem, hogy van a MASQUERADE-nek egy -to-ports opciója, lehet, hogy ezzel esetleg kétfelé tudsz egy puvlikus IP-t osztani, és akkor lenne 20 MASQUERADE-es szabályod, minden gépre egy-egy, és a LAN-os IP-k egyik fele kifelé a 0-32768, a másik fele megy a 32769-65535 portokat használná.

Esetleg megcsinálhatod, hogy a gépek, ha minden Linux megy, egyik felének választasz egy-egy default Gateway-t a másik feléből, és aztán a másik fél mindkét gépe kap egy-egy publikus címet, és így lebontod az 1 bonyolult IPTablest 10 egyszerűbbre...