Originally Posted by
-=DGN=-
Настроил проброс портов внутрь локалки:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80
Когда из локалки обращаюсь к 212.30.190.101 - все ок, когда с инета - фигу.
Еще позавчера работало. С тех пор особо ничего не менял, разве что внес правило в post-firewall
Пытался сделать как-то еще - не видит из нета и все тут. Даже DMZ включал...
Подскажите где копать, весь день сегодня бился...
Указанное правило не является "разрешающим", оно только производит трансляцию адресов.
Очевидно в FORWARD нет разрешающего правила.
Во-первых, стоит посмотреть действительно ли правило срабатывает при обращении на 80 порт из-за пределов локальной сети по изменению счетчика у правила (iptables -t nat -n -v -L --line-numbers).
Во-вторых, посмотреть внимательно правила в FORWARD.
Если "проброс портов" делать средствами web-интерфейса, то в FORWARD добавляется правило
Code:
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
Которое и пропускает весь трафик подвергшийся преобразованию DNAT. Оно при загрузке добавляется предпоследним, перед
Code:
-A FORWARD -o br0 -j DROP
Я полагаю, что оно добавляется при включенной опции Enable Virtual Server? в web-интерфейсе.