Как говориться: "Мухи отдельно, котлеты отдельно"
По идее в NAT должна быть такая запись:
Код: Выделить всё
add action=netmap chain=dstnat comment="какой-то комментарий" dst-port=ХХХХ in-interface=pppoe-out1 \
protocol=tcp to-addresses="внутренний ip" to-ports=XXXX
Т.е. любой, кто стучиться на внешний ip по порту ХХХХ попадает на внутренний ip c таким же портом
А вот в правилах фильтра идет уже отсекание "левых" ip, типа такого:
Код: Выделить всё
add chain=forward src-address="белый внешний ip"
add action=drop chain=forward
Т.о. если мне нужно донастроить тик на еще какой-то адрес, то я тупо вписываю его в правилах фильтра.
p.s.: понятное дело, что надо отталкиваться от конкретной ситуации и правило NAT вида:
Код: Выделить всё
add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX
имеет место быть, но не могу даже представить ситуацию, когда нужно "перенаправлять внутрь только пакеты с указанного адреса"
По мне, так если IP в белом списке, значит может делать что угодно =)
