Доступ к web-серверу в собственной локальной сети

[Freel]

Доброго времени суток!
Имеется локальная сеть. В ней есть шлюз, через который компьютеры локальной сети получают доступ в интернет, без прокси. Так же в сети есть web-сервер к которому на шлюзе проброшены порты.
Таблица filter : http://pastebin.com/sreVDzNG

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lan -j ACCEPT
-A INPUT ! -i lan -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i lan -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i wan -p tcp -m tcp --dport 15934 -j ACCEPT
-A INPUT ! -i lan -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT ! -i lan -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -s 92.47.32.24/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s 92.113.192.93/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s 62.133.173.236/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s 81.88.117.135/32 -p tcp -m tcp --dport 80 -j DROP
-A FORWARD -d 192.168.1.0/24 -i lan -j DROP
-A FORWARD -s 192.168.1.0/24 -i lan -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i wan -j ACCEPT

Таблица nat:     http://pastebin.com/T2ejjm1g

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
.........
-A PREROUTING -i wan -p tcp -m tcp --dport 88 -j DNAT --to-destination 192.168.1.100:88
-A PREROUTING -i wan -p udp -m udp --dport 88 -j DNAT --to-destination 192.168.1.100:88
-A PREROUTING -i wan -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80
.........
-A POSTROUTING -d 192.168.1.200/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o wan -j MASQUERADE

lan - это сетевая карта смотрящая в локальную сеть
wan - соответственно в интернет
ip web-сервера - 192.168.1.200
ip шлюза - 192.168.1.1

DNAT работает, из интернета доступ к сайтам есть, а вот SNAT похоже не работает.
пробовал смотреть tcpdump, возможно не правильно, но такое ощущение что до правила SNAT дело не доходит..

[fisher74]

И вот не лень Вам было картинки делать и на какие-то непонятные хранилища вываливать?
Я, например, даже не собираюсь кликать по этим ссылкам. Текстом сюда под спойлер положить сложно?

И на всякий случай: я стелепатил Вашу проблему до конца и готов немного помочь Вам. Ответ на Ваш вопрос разжёван в Iptables Tutorial.

[Freel]

Что-то не могу найти ошибки в правилах, кажется условия выполнения SNAT соблюдены.
Если не сложно, ответьте более конкретно.
Объясните, какие моменты я упустил, для точного описания проблемы?

PS кстати мне было не лень воспользоваться одной командой что бы запостить вывод iptables на сайт и тут же получить ссылку, с самого популярного сервиса для публикации отрывков текста)

[fisher74]

Вам лень почитать Iptables Tutorial для себя любимого (или, как минимум, дочитать вышеуказанный раздел до конца), а мне лень идти на какие-то неизвестные мне ресурсы.
Но я в себе её переборол. Прошёл по ссылке, посмотрел, и понял, что зря перебарывал. Что там считать Вашими правилами, а что ещё чем-то... Не... Ну на фиг.
Дочитывайте до конца раздел, который я указал. И если Вы всё-таки не найдёте ошибку, тогда выкладывайте выхлоп iptables-save сюда. Только не по таблицам - тут мухи, тут котлеты, а всё вместе - как есть. А найдёте - тоже приходите и показывайте, указав, где же Вы всё-таки промахнулись.

с самого популярного сервиса для публикации отрывков текста

Я Вас умоляю. Популярность складывается только в определённых кругах. Я про этот "суперсервис" первый раз слышу. Хотя знаю с сотню других "популярных" сервисов, о существовании части из которых, Вы даже не подозреваете.