История изменений

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

резолвит, значит входящий на сервере работает

Это ты только DNS проверил, что насчет TransPort ? Это TCP, его открытость можно проверить telnet-ом с клиента.

Also в скрипте у тебя в NON_TOR подсеть указана как 192.168.216.0/24, а в остальных местах - 192.168.206.0/24. Буду считать верным последний вариант.

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -p tcp -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

резолвит, значит входящий на сервере работает

Это ты только DNS проверил, что насчет TransPort ? Это TCP, его открытость можно проверить telnet-ом с клиента.

Also в скрипте у тебя в NON_TOR подсеть указана как 192.168.216.0/24, а в остальных местах - 192.168.206.0/24. Буду считать верной последний вариант.

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -p tcp -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

резолвит, значит входящий на сервере работает

Это ты только DNS проверил, что насчет TransPort ? Это TCP, его открытость можно проверить telnet-ом с клиента.

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -p tcp -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -p tcp -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

У тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

Далее - DNAT делать НЕ НАДО. Только REDIRECT.

iptables -t nat -A PREROUTING -s 192.168.206.0/24 -d 192.168.206.0/24 -j RETURN
iptables -t nat -A PREROUTING -s 192.168.206.0/24 -j REDIRECT --to-ports 9040

На всякий случай покажи с сервера:

iptables-save

Покажи с сервера:

iptables-save

Далее: у тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал... Если у тебя на схеме в локалке только 192.168.206.0/24 - оставь лучше 10. сеть

Покажи с сервера:

iptables-save

Далее: у тебя резолв то в подсеть 10.(для ya.ru), то в какую-то нестандартную 116.202.0.0/16. Она то конечно помечена в RIR-ах как stub-зона, но ты точно уверен, что она ни с чем реально работающем в Интернете не пересекается? Я тут глянул в BGP full view - она вполне себе вещается между провайдерами и бог знает что на ней расположено. Я бы использовать ее не стал...

Покажи с сервера:

iptables-save