Я чго-то недопонимаю видимо с этими OVZ контейнерами.

Ситуация: имеется HN (он же роутер) с двумя сетевыми интерфейсами:

LAN <-->  lan - [ HN ] - inet  <--> провайдер

LAN - 192.168.130.0/24, lan ip address - 192.168.130.2
inet ip address - 85.21.184.194

На HN подняты VPS сервера. IP адреса VPS-ов в сетке 192.168.1.0/24
Тип интерфейса для VPS venet.

в nat таблице POSTROUTING выставлен DNAT с подсеток LAN и VPS на внешний
ip (ну нат, как обычно). В этом случае все вроде работает как надо.
А теперь самое интересное. Мне нужно -P FORWARD DROP и -P INPUT DROP (т.е.
по дефолту INPUT и FORWARD закрыты).
Когда я так делаю то все VPS перестают работать с сетью. Делаю им
разрешение в FORWARD... и из LAN по адресу 192.168.1.1 к примеру я могу
зайти. Но извне ничего не проходит и из самих VPS я не могу достучатся
никуда наружу (даже пинг).


Что нужно сделать в правилах чтобы VPS контейнеры могли ходить в LAN и в
inet, и чтобы пакеты извне на них приходили через SNAT (т.е. обращаются к
порту N inet-ip попадают в соотвествующий VPS). SNAT поднят - из локалки
доступ идет.




-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

 * aphlux думает, действительно ли иПУФЙОЗ - это ОБДЕЦОП