Помогите!!!! NAT+Forwarding

>$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -o $INET_IFACE -j SNAT --to-source aaa.bbb.ccc.ddd
>$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -o $DMZ_IFACE -j SNAT --to-source aaa.bbb.ccc.ddd


У тебя в обоих правилах "aaa.bbb.ccc.ddd" это разные адреса, а надеюсь.

ip route show (route -n) покажи, может там что не так
ip address show (ifconfig -a)

Давай поподробнее... Что у тебя за DMZ... какая сетка? Зачем тебе SNAT в DMZ?

Бредятина какая-то нездоровая.....

iptables -t nat -A POSTROUTING -s $LAN -d $DMZ -j SNAT --to-source $DMZ_IF

iptables -t nat -A POSTROUTING -s $LAN -d 0/0 -j SNAT --to-source $INET_IF

Да ладно, хотя SNAT в DMZ это неправильно, но это не есть причина проблемы

Ну смотри сам - как бы ты разрешил следующую ситуацию -

3 интерфейса:

1 - внешний (213.168.xxx.xxx/26 , к примеру),

2 - локалка, к примеру - 10.1.0.0/16,

3 - DMZ, к примеру - 192.168.1.0/24...

Ну чего тут проблемного? Ну, а если ситуация отличается от вышеприведённой, то детали пребуют уточнения..

попробуй вместо интерфейса указать адреса то есть к примеру

пусть
клиентская сеть 10.0.0.0/8, интерфейс на серве 10.0.0.1
dmz сеть 192.168.1.0/24, интерфейс на серве 192.168.1.1
инет это все что идет не в dmz, интрефес на серве aaa.bbb.ccc.ddd

iptables -t NAT -A POSTROUTING -s 10.0.0.0/8 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
iptables -t NAT -A POSTROUTING -s 10.0.0.0/8 -d ! 192.168.1.0/24 -j SNAT --to-source aaa.bbb.ccc.ddd

Уф. Пардон, что не отпостился в тот же день: вырубился спать :)

Правильный ответ: SNAT тут на месте, поелику в ДМЗ реальные адреса. Локалки натятся и в инет, и в ДМЗ.

С правилами всё было ок. Проблема была в ARP-кэше вышестоящего провайдера: по какой-то причине mac-адреса моих виртуальных интерфейсов (a-la vlan200:6) упорно не хотели в нем обновляться! В то время как хосты в ДМЗ их видели вполне корректно. Соответственно, пакеты из инета просто не ходили на nat-адреса локалок (у меня каждая натится за своим реальным айпи).

Вот так вот...