Спасибо, Antosha. Просто супер! Всё работает.
После этой строчки в post-firewall добавил правило:
Тем не менее, с x.x.x.a тоже можно заходить на http. Как это ограничить?Code:iptables -t nat -A PREROUTING -p tcp -d x.x.x.b --dport 80 -j DNAT --to-destination 192.168.1.1:80
____
Всё, разобралси.
Нужно было в строчкудобавить -d x.x.x.bCode:iptables -I INPUT -p tcp --dport 80 -j ACCEPT
А строка с PREROUTING вообще не нужна - удалить её нафик.
Здорово, когда всё как надо выходит... и входит.