а у машины 10.0.0.1 прописан маршрут на сеть 192.168.1.0/24 ?попробуй использовать мой шаблон - там все интуитивно понятно, как проходят пакеты
в твоем наборе правил ты правильно получаеш это сообщение - ведь после диверта пакет продолжает идти по правилах ... исходящий пакет выходит после диверта по правилу add allow ip from me to 10.0.0.0/24 via wi0
а входяший пакет после диверта, когда он уже принял форму 10.0.0.1 -> 192.168.1.2 тоже должен быть разрешен ... попробую наглядно на твоем наборе правил показать:
1 divert natd ip from 192.168.1.0/24 to any via wi0
2 divert natd ip from any to 10.0.0.66
3 allow ip from me to 10.0.0.0/24 via wi0
4 allow ip from 192.168.1.0/24 to any via rl0
5 allow ip from any to 192.168.1.0/24 via rl0
а) комп с адресом 192.168.1.2 шлет пакет по адресу 10.0.0.1
- пакет вида 192.168.1.2 -> 10.0.0.1 попадает на вход rl0
- 1-е правило не подходит изза via wi0
- 2-е правило не подходит (dst не тот)
- 3-е правило не подходит изза via wi0
- 4-е правило подходит, пакет разрешен, поик по правилах закончен
- все тот-же пакет вида 192.168.1.2 -> 10.0.0.1 попадает на выход wi0 (ведь пакет проходит дважды)
- 1-е правило подходит, пакет идет на НАТ и меняется, теперь он 10.0.0.66 -> 10.0.0.1, продолжает идти по правилах
- 2-е правило не подходит (dst не тот)
- 3-е правило подходит , пакет разрешен, поик по правилах закончен
б) комп с адресом 10.0.0.1 шлет ответный пакет по адресу 192.168.1.2
- пакет вида 10.0.0.1 -> 10.0.0.66 попадает на вход wi0
- 1-е правило не подходит (src не тот)
- 2-е правило подходит, пакет идет на НАТ и меняется, теперь он 10.0.0.1 -> 192.168.1.2 , продолжает идти по правилах
- 3-е правило не подходит (dst не тот)
- 4-е правило не подходит (не тот интерфейс)
- 5-е правило (в варианте via rl0) не подходит (не тот интерфейс)
- пакет запрещен, и мы видем в логе сообщение об этом
надеюсь понятно? на домашнее задание трасировка обратного пакета по правилах если в 5-том via rl0 нет :-)