Я уже все глаза протер

Представь себя первым пакетом соединения и, тыкая пальцем сверху вниз, пройди по цепочке правил. Можно еще читать комментарии к ним.

Ну я же не могу в таблице INPUT открыть пробрасываемый порт? Как тут быть?

разреши транзит 443 порта

$IPTABLES -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.0.203 --sport 443 -j SNAT --to-source $EXTIP:443

выкинь, есть же уже маскарадинг

$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

зачем дропаешь новые соединения, убивай только инвалидов

--to-destination 192.168.0.203:44

на адресе назначения выстави гейтом узел на котором применяешь данный нат, и да tcpdump во все поля.

и еще из своей локалки не проверишь, светится ли порт наружу, проверяй с другого гейта.

В input твой пакет и не попадает. Гугли картинки под названием netfilter packet flow. А для фильтрования «всего трафика, кроме явно разрешенного», лучше использовать policy, а не явные правила.

если через iptables не осиляешь, используй редиректор для маленьких - rinetd

Во, человек все правильно пишет.
Еще можно :443 выкинуть, порт же у тебя не изменяется.

вдогонку лично мне не нравятся скрипты для формирования правил, по-моему лучше юзать iptables-save + iptables-restore , лично мне так удобнее и более наглядно

# Allow SSH"
$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT

# Drop all traffic on external device
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

# NAT iptel https port
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d $EXTIP --dport 443 -j DNAT --to-destination 192.168.0.203

# Allow masquerade for my network
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.0/24 -j MASQUERADE

Вот что получилось, но толку нет, щас попробую узнать стоить ли шлюзом на 192.168.0.203 мой сервер, но мне кажется не в этом проблема(

За rinetd спасибо, но по-моему с ним только путаница какая то начнется, через iptables тоже вроде не сложно.

транзита 443 в локалку так и нет!

опробую узнать стоить ли шлюзом на 192.168.0.203

это обязательное условие

в форварде пропиши порт по которому разрешен транзит.

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d $EXTIP --dport 443 -j DNAT --to-destination 192.168.0.203

после того как в пакете натом подменится внешний адрес назначения на внутрениий, пакет должен транзитом предаться с одного сетевого интерфейса на другой, то что разрешено для транзита описывается в форварде, в данных правилах нет правила разрешающего транзит к адресу назначения 192.168.0.203 по порту 443.

А какое преимущество полисей перед явными правилами?

axelroot дело пишет. Вообще убери все -A FORWARD. По умолчанию они разрешены. Проверь так. Потом их добавишь, ежели так надо.

Попробуй задействовать такое првило

-A PREROUTING -p tcp -d 91.91.91.91 --dport 443 -j DNAT --to-destination 192.168.0.117:443

Внешний IP- 91.91.91.91

Внутренний IP LAN- 192.168.0.117

Спасибо) на самом деле все не работало только из-за того что на компьютере за натом не был прописан шлюз)

отметь тему как решонную