доступ к веб серверу в локальной сети извне

> я понял, что нужно сделать, понял как это все ДОЛЖНО РАБОТАТЬ
Наверное еще нужно слегка потренироваться...
На internet-шлюзе должно быть такое:
iptables -t nat -A PREROUTING -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $WEB_SERVER
iptables -t nat -A POSTROUTING -s $WEB_SERVER -p tcp --sport 80 -j SNAT --to-source $INET_IP
iptables -A FORWARD -d $WEB_SERVER -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $WEB_SERVER -p tcp --sport 80 -j ACCEPT
Если доступ к этому web-серверу из локальной сети будет осуществляться через $INET_IP (т.е. пользователи локальной сети несмотря на то, что имеют непосредственный доступ к web-серверу, захотят подключиться к нему как http://$INET_IP/), добавить такое:
iptables -t nat -A POSTROUTING -s x.x.x.x/YY -d $WEB_SERVER -p tcp --dport 80 -j SNAT --to-source $INET_IP
Но такого лучше не делать, т.к. все подобные запросы web-сервер будет видеть как запросы со шлюза, а не от конкретного клиента.

P.S. x.x.x.x/YY - адрес локальной сети (например 192.168.0.0/16).

и еще на твоем веб-сервере шлюз должен быть default gateway

2spirit

самая фигня в таком решении - то что если http-сервер сломают, то потом ищи ветра в поле. куда надежнее использовать прокси (по крайней мере она будет передавать X-Forwarded-For, который уже можно (в апаче точно можно) запихивать в REMOTE_ADDR)

Согласен, reverce proxy, например pound.