Не отрабатывает iptables. В чем может быть ошибка?

Question

[Suenoroco]

Добрый день.
Ситуация крайне нубская, скорее всего упускаю какие то нюансы, так как ранее не работал этим.
Решил на праздниках прокинуть свой домашний медиа сервер в интернет.
DynDNS и покупка белого IP отпали. Вспомнил про VDS сервачок на Ubunte.
По шустрому поднял на нем pptpd, подключил домашний сервак к нему по VPN.
Пакеты между машинами ходят.
Сунулся прокидывать порты, прописал iptables и перезагрузился (192.168.10.100 - домашний сервак)
iptables -t nat -A PREROUTING -p tcp -d 185.*.*.* --dport 61234 -j DNAT --to-destination 192.168.10.100:3389
iptables -t nat -A POSTROUTING -p tcp --dst `192.168.10.100 --dport 3389 -j SNAT --to-source 185.*.*.*

Вроде все, правильно. Но RDP не коннектит. Правила фаерволла на домашней машине в порядке.
В какую сторону стоит копать?

Answer 1

[Nadz Goldman]

iptables -t nat -A PREROUTING -p tcp -d 185.*.*.*  --dport 61234-j DNAT --to-destination 192.168.10.100:3389
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

Вы вторым правилом творите хрень, ибо

PACKET IN
    |
PREROUTING--[routing]-->--FORWARD-->--POSTROUTING-->--OUT
 - nat (dst)   |           - filter      - nat (src)
               |                            |
               |                            |
              INPUT                       OUTPUT
              - filter                    - nat (dst)
               |                          - filter
               |                            |
               `----->-----[app]----->------'

Comments

[Suenoroco]

Cпасибо за схему. Поправил.
Правда не помогло.
При попытке подключиться к 185.*.*.*:61234 пакеты до домашнего сервака доходят, но обратно теряются, судя по netstat -an на домашнем серваке:
192.168.10.100:3389 185.*.*.*:4171 SYN_RECEIVED

[Suenoroco]

Не хватало записи.
iptables -t nat -A POSTROUTING -d y.y.y.100 -p tcp --dport 3389 -j SNAT --to-source y.y.y.1
Спасибо большое за помощь, счастливого нового года =)