iptables проброс порта

а с форматированием?

EXTERNAL=eth0
INTERNAL=eth1
EXTERNALIP1=x.x.x.x
INTERNALIP1=192.168.0.2

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Setting up NAT (Network Address Translation)..."
iptables -F iptables -F -t nat # by default, nothing is forwarded.
iptables -P FORWARD DROP # Allow all connections OUT and only related ones IN

iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -m state --state ESTABLISHED,RELA TED -j ACCEPT
iptables -A FORWARD -i $INTERNAL -o $EXTERNAL -j ACCEPT # enable MASQUERADING iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

# IMAP to EXCH gateway
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 993
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 993 -j DNAT
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 143 -j DNAT --to $ INTERNALIP1:143
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 110 -j DNAT --to $ INTERNALIP1:110
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 587 -j DNAT --to $ INTERNALIP1:587

Черт его знает. А если отломать строчки с маскарадингом и хитрым дропом, работать начинает?

Вообще, при настройке иптаблеса не стоит писать сразу двесть злых правил, а потом болезненно думать почему все не работает. Попробуй начать с малого, а потом включать злые дропы и аксепты.

тут чего-то не хватает
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 993
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 993 -j DNAT

Я, пожалуй, таки сорву интригу.

Прежде, чем пакет попадет в FORWARD, он должен пройти INPUT. Так что и в INPUT эти правила должны быть.

а вы тоже в туалет через спальню ходите?

Через спальню в туалет - это из другой оперы.

Всё ещё пользуетесь ipchains? Тогда мы не идём к вам.

Запустите tcpdump на INTERNAL интерфейсе и смотрите, уходят ли пакеты на 192.168.0.2. Думаю, что пакеты туда уходят, а там уже и происходит "filtered".

Чорд. Пять лет думал что оно именно так. Пять лет настраивал iptables и все работало идеально. Как я теперь буду с этим жить? :D

Вто что сказал tcpdump
tcpdump -i eth1 port 143

17:49:27.433484 IP myhost.54976 > 192.168.0.2.imap: S 402999172:402999172(0) win 3072 <mss 1460>
17:49:27.541214 IP myhost.52762 > 192.168.0.2.imap: S 402933637:402933637(0) win 2048 <mss 1460>

То есть пакеты пробрасываются. Только myhost это $EXTERNALIP1 или машина в интернете (на которой запускается nmap)?

>Только myhost это $EXTERNALIP1 или машина в интернете (на которой запускается nmap)?
Да. Это очень существенный момент.

2info9216: http://ru.wikipedia.org/w/index.php?title=Iptables&oldid=17107327#nat Пример для DNAT и комментарии к нему. Изучать до полного просветления.

> Я, пожалуй, таки сорву интригу.
>Прежде, чем пакет попадет в FORWARD, он должен пройти INPUT. Так что и в INPUT эти правила должны быть.

Прежде, чем что-либо срывать, неплохо почитать документацию.

Я уже публично покаялся и даже (в порядке самовоспитания) начал дописывать статью на вики. Ну что поделать, у меня было тяжелое детство с фаерволами без таблиц :)

А, точно. Извини, не заметил :)