SNAT

[esamp]

oi povo!
seguinte, preciso fazer um SNAT. tenho um firewall e atrás dele dois servidores. um responde (através de DNAT) por um ip válido de final 130 e outro 132. o firewall responde por 190. Preciso que os pacotes dos servidores tenham origem definida para os respectivos ip's válidos. Já fiz algumas tentativas, tenho firewalls nas três máquinas, interfaces separadas no fw para cada server, internamente tenho redes com ip's não vádlidos de clase 252. até agora, testei a regra

Código :

 $IPT -t nat -A POSTROUTING -p all -o $ISC -j SNAT --to-source ip_válido.132

a esta altura, já estou em dúvida de onde tenho que aplicar essa regra, fw ou servidor.
o iptables é o 1.3.1.Agradeço a ajuda.

[esamp]

eu estava errando, além do snat estava fazendo o nat no firewall, resultado, todos os pacotes saiam com o ip do firewall...