>И, кстати, проверять проброску нужно снаружи  - изнутри требует отдельной сборки
>ядра

да я с наружи проверяю через терминал с другого сервера
только вот не работает почемуто
может всетаки выложить полный конфиг свой ??
может там какиенить ошибки есть которые я не замечаю ??

>Ну, давай... попробуем.
вот
#!/bin/sh
#
INET_IP="213.33.176.53"
INET_IFACE="eth1"
INET_BROADCAST="213.33.176.63"
#
LAN_IP="192.168.2.250"
LAN_IP_RANGE="192.168.2.0/24"
LAN_BROADCAST_ADDRESS="192.168.2.255"
LAN_IFACE="eth0"
#
LO_IFACE="lo"
LO_IP="127.0.0.1"
#
IPTABLES="/sbin/iptables"
#
/sbin/depmod -a
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
$IPTABLES -N bad_tcp_packets
#
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
#
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
#
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
#
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
#
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
#
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
#
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
$IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
$IPTABLES -A FORWARD --protocol tcp --destination $INET_IP --destination-port 25 -j ACCEPT
#
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES  -A PREROUTING -t nat --protocol tcp --destination $INET_IP --destination-port 25 \
-j DNAT --to-destination 192.168.2.1
#
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
#

я коментарии убрал чтоб поменьше было

>1. У тебя пакеты в обе стороны не пропускаются!
>
>IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
>Это внутрь.
>А как у тебя выпускается трафик я не вижу.
>Надо добавить
>IPTABLES -A FORWARD --protocol tcp -s 192.168.2.1 --sport 25 -j ACCEPT

Добавил непомогло !
:о(

>Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
>
>Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются
>впередистоящими правилами - пакет уходит в цепочку и не доходит до
>правила.
>Включи логирование пакетов и смотри

я конечно дико извиняюсь и прошу меня ногами не пинать
просто я выше писал уже что я в IPTables не силен и если честно и в линухе тоже не гуру, тобиш знаю только то что знаю а шаг в право шаг в лево для меня равносилен шагу в пропость :о(
но я быстро учусь :о)