Koc: по п 2 - пакет приходит на какой-то конкретный ip(назначенный интерфейсу eth0), на какой ip будешь отправлять пакет если у тебя в локалке несколько клиентов? Что-то я как-то смысл твоих действий не пойму. Роутер для того и нужен, чтобы разделить сети и кто попало по локалке не шарился и не сканил клиентов на уязвимости и т.п. Если же тебе нужно выставить в инет, например, веб-страничку расположенную на компе в локалке, то делается это через проброс портов.
по п 3 - входящий пакет всегда проходит через Prerouting, потом в зависимости от адреса назначения (маршрутизации) идёт либо в Input либо в Forward (см. схему).
1) не на любой, а на тот которому они предназначены.
2) с интерфейса eth1 приходит пакет отправленный в инет, если форвардинг пакетов разрешён, то он маскарадится и запоминается кто куда послал пакет и отправляется в инет через eth0. Когда из инета приходит ответ, то проверяется кому ответ и если он для клиента за интерфейсом eth1, то отправляется ему. Если первый пакет в соединении придёт из инета, то это получится просто входящий пакет, т.к. его никто не запрашивал из сети за интерфейсом eth1 и он попадёт в цепочку INPUT.
3) на схеме все входящие в твой дебиан пакеты идут сверху, все исходящие уходят снизу (зелёные сетевые карты). На схеме это не физические сетевухи, это просто два направления прохождения пакетов через твой комп - вход/выход.
зы: да, только iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
и если net.ipv4.ip_forward=1
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.