Как завернуть траффик с внешнего интерфейса на сервер в vpn сети?

Question

[tarielx]

Есть сервер, debian, на нём openvpn сервер.

# ifconfig 
eth0  inet addr:141.0.272.276
lo  inet addr:127.0.0.1
tun0  inet addr:10.8.0.1

Есть машина за nat, на ней openvpn клиент.

# ifconfig 
eth0  192.168.1.54
lo  inet addr:127.0.0.1
tun0   inet addr:10.8.0.18

На машине стоит Apache, 80-й порт.

Задача: весь траффик, который идёт на сервер 141.0.272.276:8888 перенаправлять на клиента, на адрес 10.8.0.18:80.

С ssh это бы решилось ssh -L 80:141.0.272.276:8888 user@141.0.272.276

Сейчас правила в iptables на сервере:

# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             anywhere            tcp dpt:8888 to:10.8.0.18:80 

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:kerberos 
DROP       tcp  --  anywhere             anywhere            tcp dpt:27017 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

в /proc/sys/net/ipv4/ip_forward записана 1
И не работает.
Как можно исправить?

Answer 1

[ERiC]

ну доступ внутрь вроде будет так:
iptables -t nat -I PREROUTING -d 141.0.272.276 -i eth0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 10.8.0.18:80

но там имеет значение куда трафик будет идти по умолчанию с целевой машины. если т.е. надо смотреть на route table на той машине с адресом 10.8.0.18. для пробы - сделать default route 10.8.0.1