Linux. На какой интерфейс прибить сервис?

форвардить один «публичный» порт

Это я распарсил, вместо 21, 22, 80, 433, 1194 и др. хочешь один порт, верно? А там дальше сам разберёшь кому что?

>>(для распределения нагрузки между демонами).

А вот это не понял что значит.

почему это dnat не может на 127.0.0.1? Вы пробовали REDIRECT?

>Это я распарсил, вместо 21, 22, 80, 433, 1194 и др. хочешь один порт, верно?
Это тест на дурака сейчас был? ))
читаем топик же "...openvpn демоны..."

А вот это не понял что значит.

Это значит, что openvpn однопоточное приложение и для годной производительности его надо запускать в кол-ве экземпляров = кол-ву ядер. Во внешний мир же смотрит один порт 1194, с которого соединения равномерно распределяются по демонам(слушающим разные порты).
Я бы распарсил это как распределение нагрузки ))

Пакеты на 127.0.0.1 должны иметь адрес отправителя из той-же подсети.
Во всех иных случаях они считаются марсианами и отбрасываются.
REDIRECT не пробывал, но учитывая вышесказанное..... :(

для годной производительности его надо запускать в кол-ве экземпляров = кол-ву ядер

То есть, если у меня 8 ядер, то я просто обязан запустить 8 экземпляров openvpn, пускай у меня даже один единственный клиент, чтобы добится «годной производительности»?
Что за бред, объясни, сколько клиентов ломится к твоему серверу, должны ли они видеть друг друга, чем ты недоволен в данный момент, какие имеешь проблемы с нагрузкой и зачем такие сложности?

Естественно, клиент не один. В среднем расчитывается всё на 100-200 клиентов, гоняющих voip траффик(а значит многа маленьких пакетикаф). Видеть они друг друга не должны и не будут(не ясно как это относится к делу).
Реальных замеров пока не было, но я думаю, что не использовать преимущества многоядерности было-бы глупо в данном случае.

чем ты недоволен в данный момент, какие имеешь проблемы с нагрузкой и зачем такие сложности?

Я думал пара правил в prerouting это не такие уж и сложности.. ))
Оно уже даже работает. Только вот хотел порты спрятать как-бэ...

А почему именно openvpn? Может стоит выбрать какой то туннель с ядерной реализацией для адекватной производительности? Или нужна повышенная проходимость через наты и тд?

через наты, да. именно поэтому openvpn и выбирался. да хрен с ней, с производительностью то. ещё один сервак арендуем, если чё ) прсто не хочется делать абы как, а потом находу экспериментировать.

но вот уже в воздухе витает задача поддержки l2tp/ipsec для подключения андроидов и айфонов... жэсть )

А чем вам не нравится несколько демонов на разных портах паблик адреса и еще один порт с которого редиректить на них?

я имею ввиду не ограничивать вообще доступ к портам на которых слушают демоны

Ну если простого способа не найти - так и сделаю. Уже обдумывал все за и против. Объективных доводов против не нашлось.. Просто не по науке же как-то )

В общем самым быстрым вариантом будет дропать пакеты на определенные порты используя tc action drop
Но я решил не заниматься этой ерундой, т.к. в случае с openvpn это действительно ничего не даёт. Никто без сертификата даже не сунется и так.

Ну и вопросик по u32
На сколько я понимаю, нет разницы в быстродействии между записями:
u32 classid 1:1 match u32 0xc0a80800 0xffffff00 at 12
и
u32 classid 1:1 match ip src 192.168.8.0/24

Где прочитать по возможности полное и толковое описание классификатора u32? Интересует поддерживаемый синтаксис именно по второму варианту.
С первым всё ясно, но пока не охота моск превращать в двоичный калькулятор

кажется круче этого ничего нет
http://b42.cz/notes/u32_classifier/