x-tropic: думаю цепочка vpnlist тут ни при чем. Давайте перейдем к более решительным делам.
Удаляйте поочереди и проверяйте интернет у впн-клиентов и пинг до маршрутизатора.
iptables -D FORWARD -o eth2.2 -j vpnlist
iptables -D FORWARD -i br0 -j ACCEPT
Предполагаю, что после удаления этих правил интернет работать не будет. Восстановить вы их сможете или перезагрузкой, или из правил выше.
x-tropic: если блокирующее правило поставить восьмым в строчку, то сайт ping.eu не блокируется? Покажите
iptables -S FORWARD
iptables -L FORWARD --line-numbers
x-tropic: Вы проверяли, что интерфейс ppp10 остался прежним?
Я бы затер всю цепочку FORWARD: -F FORWARD и начал бы добавлять сначала разрешаюшие правила, потом все остальные и смотреть, что и как работает.
Можно попробовать так:
iptables -I FORWARD 1 -d ping.eu -j REJECT
проверить в браузере у впн-клиента, что ping.eu не открывается и удалить
iptables -D FORWARD -d ping.eu -j REJECT
если адрес блокировался, то опускаться на правило ниже, добавляя +1:
iptables -I FORWARD 2 -d ping.eu -j REJECT
проверить и удлать.
И так до того момента, пока сайт не начнет открываться на впн-клиенте.
Что это за строка в конфиге, после которой сайт работает?
x-tropic: в файле *post_iptables_script.sh правила iptables? Они похожи на вывод выше? Если все так, то да их можно поменять и они будут загружаться при каждом ребуте. Либо использовать iptables-save и iptables-restore.
Последняя итерация помогла? ВПН-клиенты могут получить доступ к другим сайтам кроме Яндекса?
x-tropic: может попробовать перезагрузить роутер? Если там нет скрипта автосохранения, то правила восстановятся на момент до Ваших изысканий.
Удалите правило любого транзитного трафика и попробуйте следующие команды:
iptables -A vpnlist -i ppp10 -d yandex.ru -j ACCEPT
iptables -D vpnlist -i ppp10 -j ACCEPT
Первое добавляет уточнения в разрешения, второе - удаляет старое правило в цепочке vpnlist. В итоге в этой цепочке должно остаться только одно правило.
А как Вы планируете сохранять изменения в правилах?
x-tropic: могу предположить, что некоторые правила от прошлых экспериментов все еще остались:
-A FORWARD -i ppp+ -o rai0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o rai0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 77.88.55.88/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 5.255.255.5/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 77.88.55.77/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 5.255.255.88/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
У Вас есть скрипт сброса и загрузки стандартных правил? Лишнее можно удалить. Хорошо бы им периодически пользоваться. Команды вы их командной строки вводите?
Дмитрий: Пожалуйста! Сам долго разбирался с этими НАТами, поэтому считаю важным доступно рассказать про то, что понял сам. Надеюсь ничего не напутал :).
Обязательно протестируйте и напишите в комментах, работает или нет. Если будут вопросы/неполадки, то нужно дополнить ответ, чтобы не вводить в заблуждение других читателей.
REDIRECT работает только в пределах одного хоста. У вас nginx и правила одном хосте? Если напрямую на 8080/tcp зайти, страничка отдается?
Это шлюз или просто сервер?
Другая машина локальная или из другой подсети?
nslookup ping.eu
nslookup ya.ru
Если будет пусто или ошибка, то можно попробовать добавить правила как-то так:
iptables -I FORWARD 6 -i ppp10 -p udp -m udp --dport 53 -j ACCEPT