Доброго времени суток всем!
Суть вопроса: есть хост XEN 4.2 на базе CentOS 6.5, имеет 2 сетевухи - одна смотрит наружу (ip xx.xx.xx.xx), другая в локалку 192.168.199.0/24 (ip 192.168.199.203). На хосте имеется виртуалка под Ubuntu Server 12.04, необходимо, чтобы она была подключена к этой же физической локальной сети и имела доступ в интернет. С подключением по локалке проблем нет, а вот с пробросом портов, что-то не разберусь. Сейчас конфигурация такая: на гипервизоре eth0 - внешний интерфейс с адресом ip xx.xx.xx.xx, eth1 - внутренний интерфейс, без адреса, воткнут в бридж, и xenbr1 - бридж с адресом 192.168.199.203, в него включены eth1 и виртуальный интерфейс виртуалки с адресом 192.168.199.218.
Пыталась настроить проброс портов с виртуалки на CentOS в iptables, но скорее всего, намудрила какую-то ерунду:

[root@adsl-75-045 network-scripts]# service iptables status
Таблица: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  0.0.0.0/0            80.243.75.45        tcp dpt:8080 to:192.168.199.218:80
2    DNAT       udp  --  0.0.0.0/0            80.243.75.45        udp dpt:8080 to:192.168.199.218:80

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Таблица: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            192.168.199.218     tcp dpt:80
2    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Есть сервер, арендованный у Хетцнера, который я хочу использовать для хостинга виртуалок с разными сервисами (OpenVPN, AD, web, 1C, ...).

Я поставил на него Citrix XenServer 6.2. Для роутинга трафика по разным виртуалкам хотел поставить pfSense, чтобы pfSense и порты для доступа прокидывал, и ip-адреса виртуалкам раздавал из подсетки 192.168.0.0/16. И вот тут встретился внезапно с печаль-бедой. Я не очень понимаю, как это сделать. Большая часть скриптов, на которые гуглятся ссылки (типа /etc/xen/scripts/network-bridge) у меня в XenServer отсутствуют. Ну и вообще в администрировании сетей я как-то не очень силен :( А задачу как-то решить надо. Посему буду премного благодарен за помощь и советы.

Просто прописывание форвардинга net.ipv4.ip_forward = 1 ситуацию не спасло - к web-морде pfSense доступа снаружи все равно нет (да и непонятно, как его получить, если на 80-м порту работает сам XenServer).

Да, у меня есть 2 публичных ip из разных подсетей. Изначально я хотел, чтобы по одному был доступен XenServer, а по другому pfSense.