Лучше не стало. В шпионов играться можно долго.
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
Вот это что должно означать?
Что дадут реальные IP?
Здесь весь трафик серверов 77.XXX.XXX.XXX, 89.YYY.XXX.XXX, 89.XXX.XXX.XXX по протоколам 53 и 56 уходит на сервер 10.0.0.2 - аппаратный VPN шлюз.
:OUTPUT DROP [0:0]
Ошибка.
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-state +conntrack
Плюс нарушена логика построения правил. Третье должно быть первым, ну или вторым.
state заменю на conntrack, правило подниму выше.
Только в чем нарушение логики? Больше правил будет проверено?
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
Бессмысленно и ненужно.
Действие по умолчанию в цепочке OUTPUT - DROP, если бы стоял ACCEPT, то да.