имам един рутер с външно ИП (да речем EXTIP) и сървър във
 вътрешната мрежа с вътрешно ИП (да речем INTIP). пренасочил
 съм заявките към външното ИП на порт 80 към сървъра. от
 интернет мога да се свързвам със сървъра на порт 80, но от
вътрешната мрежа не мога да се свържа.

давам пример че май малко неясно се изразих:

от интернет:
exthost:~# nmap -sS -p 80 EXTIP

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on  (EXTIP):
Port       State       Service
80/tcp     open        http                    


от вътрешната мрежа:
inthost:~# nmap -sS EXTIP -p 80

 Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at
2004-07-01 11:59 CEST
Interesting ports on EXTIP:
PORT   STATE    SERVICE
80/tcp filtered http


ще съм благодарен за всеки съвет

Zdrasti,
pak ne stava mnogo iasno kakva e opitnata postanovka
toia router s 2 IP-ta, OK, a s kolko NICs?
 "на порт 80 към сървъра" - kuv e toia survur? kakvo ip,
kolko nics? ima li neshto obshto s vutreshnata mreja?
 dai poveche info i za tova prenasochvane, s kakvo go pravish
i pravila s koito go pravish
 inache vseki moje da si gadae kakvo imash i kak da stane
tova, deto go iskash

sorry che sam se izrazil nejasno, eto malko danni

 ruter s 2 karti ednata e s vanshno ip da rechem 5.5.5.5,
 drugata e s vatreshno, da rechem 10.0.0.1. websarvarat e vav
vatreshnata mrezha da rechem s ip 10.0.0.2
prenasochvam kam sarvara s:
 iptables -A PREROUTING -t nat -p tcp -d 5.5.5.5 --dport http
-j DNAT --to 10.0.0.2

return paketite ne se dropvat:
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT


 ot internet njamam problemi da se svarzha, no da rechem ot
 wytreshnata mrezha, primerno ot komputer s adres 10.0.0.3 ne
stava:

host-10.0.0.3:~# nmap -sS 5.5.5.5 -p 80

 Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at
2004-07-01 11:59 CEST
Interesting ports on 5.5.5.5:
PORT   STATE    SERVICE
80/tcp filtered http


blagodarja predvaritelno

 Eiii, mnogo se skrundzate da datete podrobno info za
problema si :)))
 (Lichno az smiatam, che e dobre chovek da "flood"-ne foruma
 s vsiakakvo info za daden problem, ako durji da mu bude
 pomognato eventualno razbira se. V sluchaia primerno celia
 rc.firewall ill rc.iptables ili kakto i da se kazva file-a s
iptables rules)
 Znachi ako pusnesh tcpdump na 10.0.0.2 i probvash (ot
 10.0.0.3) "telnet 5.5.5.5 80" shte vidish, che zaiavkite ot
 i kum 10.0.0.2 otivat/idvat ot 10.0.0.3. Demek zaiavkata
 idva krivo/liavo otkudeto triabva, ama 100% zaminava tam,
 kudeto ne triabva - kum 10.0.0.3, po etherneta, huba,
 switcha, etc., t.e. ne se vrusha kum 5.5.5.5 i t.n . Ama
 10.0.0.3 izobshto ne iska da komunikira v tozi moment s
 10.0.0.2, shtoto toi si puska zaiavkata kum 5.5.5.5 i
ochakva ot 5.5.5.5 vsichko da e na 6.
 S edna duma, IP-to 10.0.0.3 ne se maskira ot routerskoto IP,
 za koeto samo moga da predpolagam, shtoto ne znam kakvo ima
v scripta, a samo moga da gadaiaaaa.
 Ako eth0 e vunshnia interface i praviloto za masquerading-a
ti e neshto kato:
 $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j
MASQUERADE
 togava ako mahnesh "-o eth0" bi triabvalo da ti se reshi
 problema, shtoto router-a ti shte maskira vutreshnoto ti IP,
 s koeto se connectvash, t.e. 10.0.0.3, s niakoe ot
negovite:
A. s 5.5.5.5 - ako izlizash prez eth0 kum internet
 B. s 10.0.0.1 - ako se connect-vash kum 5.5.5.5:80 i se
redirectvash kum 10.0.0.2
pone pri men tova minava :)

 moje da poglednesh
http://www.experts-exchange.com/Security/Linux_Security/Q_20642728.html
 tuk razni useri s podoben problem obsujdat razni neshta i
ima siakash rezon v tehnite comments.

 Погледни малко по внимателно netfilter и по-точно SNAT и
 DNAT. Ще са ти много необходими за да можеш да избираш
 рутера  от вътрешната мрежа и да ти се редиректва трафика
 към веб сървъра. Като казах и редиректване, я прегледай и
 REDIRECT. Трябва много добре да си изясниш все пак какво
 прави SNAT и DNAT и как функционират. Това което си написал
 ми изглежда като закърпено положение колкото да работи, или
иначе казано копирани правила от някоя книга или форум.
Успех!!!

 какво е policy-то на forward chain-а ти ? ако е drop, трябва
да пуснеш пакетите и там.