# 默认丢弃转发，所有内网流量不能访问外网卡
iptables -P FORWARD DROP

# 允许任何地址到任何地址的确认包和关联包通过
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# SNAT 源地址转换
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 211.1.1.1

# 开放某个ip的转发，允许上网
iptables -A FORWARD -s 192.168.0.24 -j ACCEPT

or 
# 仅允许访问223.5.5.5
iptables -A FORWARD -s 192.168.0.24 -d 223.5.5.5 -j ACCEPT

or
# 仅允许访问80端口
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport http -j ACCEPT